SRC安全指的是由多個企業和組織共同參與的安全回響聯盟,這些企業和組織包括但不限於螞蟻金服SRC、360SRC、ASRC、阿里雲先知、愛奇藝SRC、百度SRC等。SRC安全的測試規範包括以下幾個方面:
注入漏洞:測試時應證明可以讀取數據,但嚴禁讀取表內數據。對於UPDATE、DELETE、INSERT等注入類型,不允許使用自動化工具進行測試。
越權漏洞:在越權讀取時,能讀取到的真實數據不超過5組,嚴禁進行批量讀取。
賬號相關漏洞:只允許用自己的2個帳號驗證漏洞效果,不要涉及線上正常用戶的帳號。如果獲取到該系統的賬密並驗證成功,如需進一步安全測試,請諮詢管理員得到同意後進行測試。
存儲XSS漏洞:正確的方法是插入不影響他人的測試payload,嚴禁彈窗,推薦使用console.log,再通過自己的另一個帳號進行驗證,提供截圖證明。
遠程代碼執行漏洞:如果可以shell或者命令執行的,推薦上傳一個文本證明,如純文本的1.php、1.jsp等證明問題存在即可,禁止下載和讀取伺服器上任何原始碼檔案和敏感檔案,不要執行刪除、寫入命令。
其他注意事項:在測試未限製發送簡訊或郵件次數等掃號類漏洞時,測試成功的數量不超過50個。如果用戶可以感知,例如會給用戶傳送登入提醒簡訊,則不允許對他人真實手機號進行測試。
以上規範旨在確保SRC安全測試的合理性和安全性,避免對生產環境造成不必要的損害。