大家好,欢迎来到IT知识分享网。
一. SRC平台:
SRC平台整理
来源: SRCs|安全应急响应中心 – 0xsafe
官网:https://security.tencent.com
新浪微博:@腾讯安全应急响应中心
Twitter:@tsrc_team
微信公众号:腾讯安全应急响应中心
TSRC安全测试规范
[TPSA21-48] TSRC安全测试规范 – 腾讯安全应急响应中心
官网:https://security.alibaba.com
新浪微博:@阿里安全应急响应中心
微信公众号:阿里安全应急响应中心
资产:https://security.alibaba.com/announcement/announcement?id=219
官网:http://security.jd.com
新浪微博:@京东安全应急响应中心
微信公众号:京东安全应急响应中心
官网:http://sec.baidu.com
新浪微博:@百度安全应急响应中心
微信公众号:百度安全应急响应中心
官网:http://security.360.cn
新浪微博:@360安全应急响应中心
Twitter:@360SRC
微信公众号:360安全应急响应中心
官网:https://sec.xiaomi.com
新浪微博:@小米安全中心
微信公众号:小米安全中心
官网:https://sec.vip.com
新浪微博:@唯品会安全应急响应中心
微信公众号:唯品会安全应急响应中心
官网:https://security.iqiyi.com
新浪微博:@爱奇艺安全应急响应中心
官网:http://aq.163.com
新浪微博:@网易安全
微信公众号:网易安全应急响应中心
官网:http://sec.didichuxing.com
新浪微博:@滴滴出行安全应急响应中心
微信公众号:滴滴出行安全应急响应中心
二. 平台准则:
适合的组织:
腾讯SRC、蚂蚁金服SRC、ASRC、阿里云先知、百度SRC、本地生活SRC、菜鸟SRC、滴滴SRC、京东SRC、LYSRC、蘑菇街SRC、陌陌SRC、360SRC、苏宁SRC、同舟共测-
企业安全响应联盟、唯品会SRC、微博SRC、VIPKIDSRC、网易SRC、WiFi万能钥匙SRC、完美世界SRC、小米SRC
一、测试规范:
1. 注入漏洞,只要证明可以读取数据就行,严禁读取表内数据。对于UPDATE、DELETE、INSERT 等注入类型,不允许使用自动化工具进行测试。
2. 越权漏洞,越权读取的时候,能读取到的真实数据不超过5组,严禁进行批量读取。
7. 如需要进行具有自动传播和扩散能力漏洞的测试(如社交蠕虫的测试),只允许使用和其他账号隔离的小号进行测试。不要使用有社交关系的账号,防止蠕虫扩散。
8. 禁止对网站后台和部分私密项目使用扫描器。
9. 除特别获准的情况下,严禁与漏洞无关的社工,严禁进行内网渗透。
10. 禁止进行可能引起业务异常运行的测试,例如:IIS的拒绝服务等可导致拒绝服务的漏洞测试以及DDOS攻击。
12. 禁止拖库、随意大量增删改他人信息,禁止可对服务稳定性造成影响的扫描、使用将漏洞进行黑灰产行为等恶意行为。
14、尊重《中华人民共和国网络安全法》的相关规定。禁止一切以漏洞测试为借口,利用安全漏洞进行破坏、损害用户利益的行为,包括但不限于威胁、恐吓SRC要公开漏洞或数据,请不要在任何情况下泄露漏洞测试过程中所获知的任何信息,漏洞信息对第三方披露请先联系SRC获得授权。企业将对违法违规者保留采取进一步法律行动的权利。
二, TSRC安全测试规范,以腾讯举例:
您在开展安全测试时,应当遵守以下规范要求:
4、 未经腾讯授权,您不得向任何第三方公开漏洞或提供任何与腾讯产品有关的安全情报。
(1)在测试过程中如包含数据获取功能时,包括但不限于 SQL 注入、用户资料的越权获取等,应尽可能的采取手动尝试,且获取的数据量不能超过 10 组。
(2)测试过程中获取的相关代码/数据,务必在TSRC漏洞确认后立即删除,禁止二次利用获取敏感信息。
(3)禁止进行可能引起业务异常运行的测试,不得进行拒绝服务攻击、大规模扫描等影响服务的可用性,不得篡改他人用户数据等影响业务的完整性。
(4)禁止使用可能造成业务影响的漏洞尝试工具和手法,请谨慎开展安全测试,严禁影响业务正常运行。
(5)测试越权漏洞或其他可能影响用户数据的操作时,请将尝试操作控制在自己创建的多个账号生成的内容中,不得影响线上业务其他用户的正常数据。
(6)禁止使用物理接触、社会工程学、钓鱼、水坑等不在TSRC 奖励计划允许范围内的攻击手段。
(7)请将所有测试操作和行为及时、如实、完整报告给TSRC,因故意瞒报、漏报等造成业务损害或潜在风险,TSRC保留追责权利。
处罚措施及法律责任:
1、 若您违反上述安全测试规范1次,TSRC将取消您当次漏洞奖励并处以严厉警告。
2、 当您出现以下情形时,TSRC将取消您已获得的所有荣誉,同时有权要求您返还所有奖励(包括但不限于安全币、荣誉称号及排名、年终奖励、日常关怀福利等):
3、 如果您没有遵守本规范,第三方或者国家机关可能会对您提起诉讼、罚款或采取其他制裁措施,并要求腾讯给予协助,您应当自行承担法律责任。
4、 如因您违反本规范引发的任何纠纷,导致或产生第三方主张的任何索赔、要求或损失,您应当独立承担责任;腾讯因此遭受损失的,您也应当一并赔偿。
5、 腾讯保留一切因您违反本规范而追究您法律责任的一切权利。
学习网络安全技术的方法无非三种:
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。
第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
第三种就是去找培训。
接下来,我会教你零基础入门快速入门上手网络安全。
网络安全入门到底是先学编程还是先学计算机基础?这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说,学习编程或者计算机基础对他们来说都有一定的难度,并且花费时间太长。
第一阶段:基础准备 4周~6周
第二阶段:web渗透
学习基础 时间:1周 ~ 2周:
配置渗透环境 时间:3周 ~ 4周:
渗透实战操作 时间:约6周:
第三阶段:进阶
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://haidsoft.com/117938.html
