VULBOX是国内首家链结安全专家资源与自有安全团队,通过再现真实环境进行漏洞挖掘,为企业用户提供高效、透明的互联网安全测试服务平台。VULBOX为企业、白帽子提供平台服务,帮助企业发现安全威胁同时白帽子得到相应奖励,实现企业与白帽子双赢的良性循环发展。平台十分重视白帽子群体健康发展,现发布《白帽子行为准则》,界定和规范白帽子行为。白帽子在使用VULBOX的相关服务时,必须遵守中华人民共和国相关法律法规的规定,白帽子应同意将不会利用本平台进行任何违法或不正当的活动,并应承诺遵守下列条款(包括但不限于下列条款内容)∶
测试规范
白帽子在漏洞风险发现与技术验证过程中必须要保证研究漏洞的方法、方式、工具及手段的合法性,并遵守以下测试规范:
1.在实现非授权访问或用户权限越权,完成非授权逻辑、越权逻辑验证时,禁止获取和留存用户信息和信息系统文件信息;
2.在执行数据库查询条件,可获得数据库实例、库表名称等信息证明时,禁止再查询涉及个人信息、业务信息的详细数据;
3.在获得系统主机、设备高权限,可得到当前用户系统环境信息证明时,禁止再获取其他用户数据和业务数据信息;
4.禁止利用当前主机或设备作为跳板,对目标网络内部区域进行扫描测试行为;
5.禁止进行有可能导致目标网络、主机、设备瘫痪的大流量、大规模扫描行为;
6.禁止可导致本地、远程拒绝服务危害的技术验证行为;
7.禁止可能导致整体业务逻辑扰动、产生用户或企业经济财产损失的技术验证行为;
8.在获得信息系统后台功能操作权限,得到当前用户角色属性证明时,禁止再利用系统功能实施编辑、增删、篡改等操作;
9.在获得系统主机、设备、数据库高权限,得到当前系统环境信息证明时,禁止再执行文件、程序、数据的编辑、增删、篡改等操作;
10.对于信息系统可上传解析、执行文件,获得解析和执行权限逻辑证明时,禁止保留带有控制性目的程序、代码。
行为规范
1.不得利用VULBOX平台进行可能对企业、互联网或移动网正常运转造成不利影响的行为;
2.不得利用VULBOX平台提供的网络服务上传、展示或传播任何虚假的、骚扰性的、中伤他人的、辱骂性的、恐吓性的、庸俗淫秽的或其他任何非法的信息资料;
3.不得侵犯其他任何第三方的专利权、著作权、商标权、名誉权或其他任何合法权益;
4.不得利用VULBOX网络系统进行任何不利于斗象科技公司的行为;
5.不得未经允许,进入计算机信息网络或者使用计算机信息网络资源;
6.不得未经允许,对计算机信息网络功能进行删除、修改或者增加;
7.不得未经允许,对进入计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加;
8.不得故意制作、传播计算机病毒等破坏性程序;
9.不得有其他危害计算机信息网络安全的行为。
提交规范
1.禁止在VULBOX平台提交虚假漏洞信息,一经发现并证实后,对情节严重者做封号处理;
2.禁止将提交至本平台的漏洞透漏给除VULBOX平台之外的第三方,违反规定者平台将根据情况扣除奖励,对于情节严重者做封号处理,透露给第三方造成的任何损失及其法律责任均由白帽子个人承担;
3.禁止公开在平台提交的漏洞详情及漏洞相关的任何细节,违反规定者平台将根据情况扣除奖励,对于情节严重者做封号处理,由此造成的任何损失及其法律责任均由白帽子个人承担。
内容规范
在使用VULBOX相关服务时,禁止上传、展示、张贴、传播或以其他方式传送含有下列内容之一的信息:
1.反对宪法所确定的基本原则的;
2.危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
3.损害国家荣誉和利益的;
4.煽动民族仇恨、民族歧视、破坏民族团结的;
5.破坏国家宗教政策,宣扬邪教和封建迷信的;
6.散布谣言,扰乱社会秩序,破坏社会稳定的;
7.散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;
8.侮辱或者诽谤他人,侵害他人合法权利的;
9.含有虚假、有害、胁迫、侵害他人隐私、骚扰、侵害、中伤、粗俗、猥亵、或其它道德上令人反感的内容;
10.含有中国法律、法规、规章、条例以及任何具有法律效力之规范所限制或禁止的其他内容的。
