公告编号:ASRC-2020-10
    公告来源:阿里安全响应中心
    公告日期:2020-12-02
    公告内容:

    ASRC漏洞测试红线1.0
    **

    第一类事件:
    1. 漏洞泄密,漏洞内容主动泄漏给第三方
    2. 数据留存,测试敏感信息泄漏(账密、敏感key、订单、人员身份信息等)问题,在漏洞确认后1个月未对测试过程中获取到的相关信息进行完全删除
    3. 存储不当,使用非阿里巴巴提供的在线存储服务或包含网络同步功能的本地软件,来存储测试过程中获取到的相关信息,导致泄漏(在线存储请用钉盘,情报订单数据类另算)
    4. 瞒报问题,对于发现的敏感信息未完全上报明显有所保留,或发现漏洞后1周内未上报相关漏洞
    5. 客户影响,测试轻微影响到了其他用户的产品使用引起少量投诉等不良反馈


    自2020年12月起,如有上述行为被发现,给予警告扣除该漏洞奖励,王牌A还会取消王牌A资格。若多次出现类似行为,视情况升级为第二类事件。

    第二类事件:
    1. 生产事故,测试造成重要业务中断直接引发大面积故障
    2. 危害用户,测试影响了大量用户,造成用户侧大量投诉
    3. 敏感数据,获取敏感数据请求不要超过50条
    4. 深度利用,拒绝内网渗透,禁止获取内网权限后在内网使用扫描器、或横向接触非测试靶机类目标、获取内网应用/主机权限等
    5. 完整性破坏,使用越权删除等问题,对线上系统造成完整性的破坏,导致重要数据丢失
    6. 可用性破坏,使用dos类缺陷或其他手法,对线上系统造成了可用性的破坏,导致系统不可用
    7. 社工攻击,如使用钓鱼邮件进行攻击,进一步种植木马病毒、窃取公司机密等
    8. 其他故意危害计算机信息网络安全导致严重后果的行为

    注:对于第三条,50是底线,但不意味着49条就合规,平时测试不要超过5条;法律规定不得获取超过50条以上个人信息,因此越权漏洞需要谨慎,保证自身安全,专业的渗透测试中“可控”也是要求之一。


    无意的下载、删除等行为,请立刻删除本地数据、恢复线上业务、报备漏洞审核同学。自2020年12月起,未及时报备符合上述定义的测试行为,不再认定为白帽行为,转交其他团队依照法律法规进行处理。