白帽行为准则：技术需克制，合规是首要责任

各位白帽师傅们好，

顺丰安全应急响应中心(简称SFSRC)一直致力于保护广大顺丰用户的信息安全，非常欢迎白帽师傅们向我们反馈顺丰系统和业务的安全漏洞，帮助我们提升系统和业务的安全性。

在SFSRC的持续运营中，我们注意到，尽管《SFSRC安全漏洞评分标准V6.2》中对“漏洞测试规范”有明确的禁止项规定，但仍有个别白帽未能正确识别敏感的接口和操作，导致了对业务流程造成影响。

1. 在测试可能对业务造成影响的功能时，应提前报备ip、注册的手机号，审核人员同意后再进行下一步操作。

2. SQL注入漏洞，只要证明可以读取数据就行，能读取到的真实数据不超过5组，严禁读取表内数据。对于UPDATE、DELETE、INSERT 等注入类型，不允许使用自动化工具进行测试；

3. 越权漏洞，可获取用户/业务数据的时候，能读取到的真实数据不超过5组，在批量遍历时请到第5组有效数据时立即停止遍历，严禁批量读取、测试、fuzz高危接口如增删改接口，包含但不限于delete/update/modify等关键字的敏感接口，白帽在测试包含敏感关键字的相关接口时应主动进行排除。

4. 尊重《中华人民共和国网络安全法》等相关法律规定。禁止一切以漏洞测试为借口，利用安全漏洞进行破坏、损害用户利益的行为，包括但不限于威胁、恐吓SFSRC要公开漏洞或数据，请不要在任何情况下泄露漏洞测试过程中所获知的任何信息，漏洞信息对第三方披露、对外分享漏洞案例时禁止暴露顺丰相关logo、系统、业务指向性明显的特征等信息，如需使用请先联系SFSRC获得授权。公司将对违法违规者保留采取进一步法律行动的权利。

5. 测试过程中获取或新增的相关代码/数据/账号等，务必在漏洞确认后立即删除，禁止二次利用获取敏感信息，若存在该行为则取消漏洞奖励。

6. 测试业务逻辑漏洞时，禁止以测试名义进行薅羊毛，测试过程为验证漏洞有效性获取的福利或礼品应补充在报告里，否则按黑灰产业链进行处理。

7. 账号可注册的情况下，只允许用自己的2个账号验证漏洞效果，不要涉及线上正常用户的账号，越权增删改，请使用自己测试账号进行。

8. 账号不可注册的情况下，如果获取到该系统的账密并验证成功，如需进一步安全测试，请咨询SFSRC工作人员得到同意后进行测试。

9. 存储xss漏洞，正确的方法是插入不影响他人的测试payload，严禁弹窗，推荐使用console.log，再通过自己的另一个账号进行验证，提供截图证明。对于盲打类xss，仅允许外带domain信息。所有xss测试，测试之后需删除插入数据，如不能删除，请在漏洞报告中备注插入点。

10. 如果可以shell或者命令执行的，推荐上传一个文本证明，如纯文本的1.php、1.jsp等证明问题存在即可，禁止下载和读取服务器上任何源代码文件和敏感文件，不要执行删除、写入命令，如果是上传的webshell，请写明shell文件地址和连接口令。

11. 在测试未限制发送短信或邮件次数等扫号类漏洞，测试成功的数量不超过20个。如果用户可以感知，例如会给用户发送登录提醒短信，则不允许对他人真实手机号进行测试。

12. 如需要进行具有自动传播和扩散能力漏洞的测试（如社交蠕虫的测试），只允许使用和其他账号隔离的小号进行测试。不要使用有社交关系的账号，防止蠕虫扩散。

13. 禁止对网站后台和部分私密项目使用扫描器。

14. 除特别获准的情况下，严禁与漏洞无关的社工，严禁进行内网渗透。

15. 禁止进行可能引起业务异常运行的测试，例如：可导致拒绝服务的漏洞测试以及DDOS攻击。

16. 请不要对未授权厂商、未分配给自己的项目、超出测试范围的列表进行漏洞挖掘，可与SFSRC工作人员联系确认是否属于资产范围后进行挖掘，否则未授权的法律风险将由漏洞挖掘者自己承担。

17. 禁止拖库、随意大量增删改他人信息，禁止可对服务稳定性造成影响的扫描、使用将漏洞进行黑灰产行为等恶意行为。

18. 敏感信息的泄漏会对用户、厂商及上报者都产生较大风险，禁止保存和传播和业务相关的敏感数据，包括但不限于业务服务器以及Github 等平台泄露的源代码、运营数据、用户资料等，若存在不知情的下载行为，需及时说明和删除。

1. 若您出现以上情形，顺丰安全应急响应中心将进行如下处置：

   ✦ 对于首次违反规定且其影响相对有限的行为，将采取警告的措施。

   ✦ 对于重复违规或造成较大影响的行为，我们将发出正式警告，并取消该违规行为所涉及的所有奖励。此外，我们保留对违规者采取进一步法律行动的权利，以维护公司的利益和声誉。

   ✦ 对于第三次违规或情节特别严重的个案，我们将取消该违规行为所涉及的所有奖励，并对该账户实施永久性封禁。同时，我们将公开通报该违规行为，进行全面的调查和取证，并采取相应的法律措施。我们致力于通过这些措施，确保我们的政策得到遵守，并保护所有利益相关者的权益。

2. 若您未能遵循测试规范，可能会面临来自第三方或国家机关的法律诉讼、经济处罚乃至其他强制性措施，顺丰安全应急响应中心也可能被要求配合相关行动，由此产生的法律责任需由您个人全权承担。

3. 尊重《中华人民共和国网络安全法》等相关法律规定。禁止一切以漏洞测试为借口，利用安全漏洞进行破坏、损害用户利益的行为，包括但不限于威胁、恐吓SFSRC要公开漏洞或数据，且禁止在任何情况下泄露漏洞测试过程中所获知的任何信息，漏洞信息对第三方披露请先联系SFSRC获得授权。公司将对违规违法者保留采取进一步法律行动的权利。

4. 若因您违反测试规范而触发任何纠纷，进而导致第三方提出的要求、索赔等，您将独自承担所有责任；若此行为给顺丰安全应急响应中心带来任何损害，您亦需承担相应的赔偿。

5. 顺丰安全应急响应中心保留对您违反测试规范行为采取法律行动的权利。

顺丰广大用户的信息安全离不开白帽师傅们的共同守护，最后再次感谢白帽师傅们在帮助提升系统和业务的安全性方面做出的不懈努力和贡献。