美团SRC漏洞测试高压线V1.0.0

大家好：

为帮助所有白帽子在美团SRC测试过程中规避违规风险，保护平台和白帽子的安全和利益，确保平台漏洞奖励机制得以良性运作，美团SRC于今日发布《漏洞测试高压线V1.0.0》，望各位白帽子仔细阅读并在今后的测试中避免违规操作。

#一般违规行为

1、测试中修改、影响线上真实业务数据，或引起客诉事件或业务投诉（包括越权修改配置、未授权接口访问行为、扫描器违规扫描等）；

2、在使用“安全专测”活动提供的测试账号时，对账号信息进行篡改（包括修改绑定手机、修改密码、添加子账号、修改关联门店等）；

3、在使用“安全专测”活动提供的测试账号，测试非“安全专测”测试范围的业务内容；

4、在测试过程中，使用包含不当言论（涉z、h、侮辱个人或团体）的测试用例；

5、通过非正规渠道借用、盗用、购买任何美团相关账号进行测试；

6、对线上业务系统进行DOS攻击测试；

7、未经批准，对*.sankuai.com域名发起测试活动。

#严重违规行为

1、遍历敏感数据（注：包括但不限于个人敏感信息如手机、住址、银行卡信息等，公司及业务商业数据，任何可用于用户身份鉴权和登陆的相关凭证）超过50条（含sql注入获取数据）；

2、保存/二次利用在测试过程中获取的敏感数据；

3、测试中修改、影响线上业务数据，或引起大量客诉事件或引起业务运行事故（包括越权修改数据、未授权接口访问行为、扫描器违规扫描等）；

4、测试中未经账号所有者允许，盗用账号；

5、针对未开放注册的美团账号（如员工账号、合作商账号等）获取账号账密凭证并证明可以成功登陆即可提交风险，未经批准的进一步安全测试行为，视为违规行为；

5、未经美团SRC批准，对外发布安全漏洞测试细节；

6、未经美团SRC批准，上传恶意文件/木马，进行内网扫描等影响美团基础服务的行为；

7、以测试漏洞为名，在测试过程中利用漏洞/情报获取利益。

#违规处理

1、测试过程中，触犯一般违规行为，平台将进行提醒/警告；

2、测试过程中，触犯严重违规行为，对涉及的漏洞进行安全币及贡献值清零处理；

3、在已收到平台关于一般违规行为的三次提醒/警告（含三次）后，测试人员仍执行违规测试操作，对涉及的漏洞进行安全币及贡献值清零处理；

4、一个季度内，因违规行为，被扣除漏洞奖励两次（含两次），本季度内全部漏洞安全币及贡献值清零，取消当季度排名奖励；

5、对于情节严重违规行为，美团SRC保留追究法律责任的权力。

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/