启明星辰云众可信平台(以下简称“云众平台”)作为中立、公正、负责的安全服务平台,我们坚持为认证白帽子人员提供全面利益保障,为企业网络安全保驾护航。认证白帽子在云众平台发现以及提交漏洞是应遵守此《认证白帽子行为规则》。
白帽子在使用云众平台的相关服务时,必须遵守中华人民共和国相关法律法规的规定,白帽子应同意将不会利用云众平台进行任何违法或不正当的活动,并应承诺遵守下列条款(包括但不限于下列条款内容)∶
1) 禁止在云众平台提交虚假漏洞信息,一经发现并证实后,我们将根据情况勒令警告,情节严重者做取消资格处理;
2) 禁止将提交至云众平台的漏洞透漏给除云众平台之外的任何第三方,透露给第三方造成的任何损失均由白帽子个人承担,违反规定者我们将根据情况勒令警告或取消资格,情节严重者追究其法律责任;
1) 认证白帽子在漏洞发现与技术验证过程中必须要保证研究漏洞的方法、方式、工具及手段的合法性;
2) 认证白帽子在漏洞挖掘时实现非授权访问或用户权限越权,在完成非授权逻辑、越权逻辑验证时,严禁再获取和留存用户信息和信息系统文件信息;
3) 认证白帽子在漏洞挖掘时可执行数据库查询条件,获得数据库实例、库表名称等信息证明时,严禁再查询和留存涉及个人信息、业务信息的详细数据;
4) 认证白帽子在漏洞挖掘时获得系统主机、设备高权限,在获得当前用户系统环境信息证明时,严禁再获取其他用户数据和业务数据信息。
5) 认证白帽子在漏洞挖掘时禁止利用当前主机或设备作为跳板,对目标网络内部区域进行扫描测试。
6) 认证白帽子在漏洞挖掘时应充分估计目标网络、系统的安全冗余,不应进行有可能导致目标网络、主机、设备瘫痪的大流量、大规模扫描;
7) 认证白帽子在漏洞挖掘时禁止执行可导致本地、远程拒绝服务危害的技术验证用例;
8) 认证白帽子在漏洞挖掘时禁止执行有可能导致整体业务逻辑损坏,或有可能产生用户经济财产损失的技术验证用例;
9) 认证白帽子在漏洞挖掘时获得信息系统后台功能操作权限,获得当前用户角色属性证明时,严禁再利用系统功能实施编辑、增删、篡改等操作;
10) 认证白帽子在漏洞挖掘时获得系统主机、设备、数据库高权限,获得当前系统环境信息证明时,严禁再执行文件、程序、数据的编辑、增删、篡改等操作。
11) 认证白帽子在漏洞挖掘时信息系统上传可解析、可执行文件,在获得解析和执行权限逻辑证明时,严禁驻留带有控制性目的程序、恶意代码等后门。
1) 不得利用云众平台进行任何可能对企业、互联网或移动网正常运转造成不利影响的行为;
2) 不得利用云众平台提供的网络服务上传、展示或传播任何虚假的、骚扰性的、中伤他人的、辱骂性的、恐吓性的、庸俗淫秽的或其他任何非法的信息资料;
3) 不得侵犯其他任何第三方的专利权、著作权、商标权、名誉权或其他任何合法权益;
4) 不得利用云众平台服务系统进行任何不利云众平台的行为;
1) 反对宪法所确定的基本原则的;
2) 危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
3) 损害国家荣誉和利益的;
4) 煽动民族仇恨、民族歧视、破坏民族团结的;
5) 破坏国家宗教政策,宣扬邪教和封建迷信的;
6) 散布谣言,扰乱社会秩序,破坏社会稳定的;
7) 散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;
8) 侮辱或者诽谤他人,侵害他人合法权利的;
9) 含有虚假、有害、胁迫、侵害他人隐私、骚扰、侵害、中伤、粗俗、猥亵、或其它道德上令人反感的内容;
10) 含有中国法律、法规、规章、条例以及任何具有法律效力之规范所限制或禁止的其它内容的;
1) 未经允许,进入计算机信息网络或者使用计算机信息网络资源的;
2) 未经允许,对计算机信息网络功能进行删除、修改或者增加的;
3) 未经允许,对进入计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的;
4) 故意制作、传播计算机病毒等破坏性程序的;
5) 其他危害计算机信息网络安全的行为。