TSRC安全測試規范

騰訊于2012年5月推出國內首家“漏洞反饋平臺”——騰訊安全應急響應中心（TSRC），并開展“漏洞獎勵計劃”，邀請廣大安全專家幫助騰訊發現和修復安全問題。

在這個沒有硝煙的戰場，感謝各位白帽師傅與我們并肩而行，共同捍衛全球億萬用戶的信息、財產安全！期待與您一起，繼續攜手并進，為建設更加安全繁榮的互聯網生態而共同奮斗。

為保護測試產品和白帽子的安全和利益，確保TSRC漏洞獎勵機制健康、安全執行，TSRC特別發布《安全測試規范》，以提示白帽子在測試過程中應當滿足的技術規范及法律要求。

TSRC同時誠邀所有白帽子按照測試規范提交騰訊安全漏洞，共建良好的互聯網安全生態，禁止非法、不正當測試行為，保障各方合法權益。您在開展安全測試時，應當遵守以下規范要求。

安全測試規范

1、 您僅可針對騰訊產品開展安全測試，同時，安全測試需要遵守《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》、《中華人民共和國個人信息保護法》及相關法律法規的規定，采取合法、正當的方式，不得侵犯任何第三方合法權益。

2、 您不得利用計算機病毒、網絡攻擊、網絡侵入、干擾騰訊網絡正常功能、竊取騰訊網絡數據等危害網絡安全行為的技術措施（包括但不限于程序、工具）開展安全測試，如上傳惡意文件及木馬、增刪改其他用戶個人數據、添加后門賬號/權限、掃描攻擊內網等滲透行為，不得對國家安全、國計民生、公共利益的關鍵信息基礎設施產生任何危害。

3、 您在開展安全測試時不得竊取或者以其他非法方式獲取任何騰訊或者其他第三方的商業信息（包括但不限于源代碼、運營數據、用戶資料等）、個人信息，不得非法出售或者非法向他人提供騰訊或者其他第三方的商業信息、個人信息。

4、 未經騰訊授權，您不得向任何第三方公開漏洞或提供任何與騰訊產品有關的安全情報。

5、 您還應當遵守《TSRC漏洞處理和評分標準》及《SRC行業安全測試規范》，重點強調以下幾點：

(1) 在測試過程中如包含數據獲取功能時，包括但不限于 SQL 注入、用戶資料的越權獲取等，應盡可能的采取手動嘗試，且獲取的數據量不能超過10組。

(2) 測試過程中獲取的相關代碼/數據，務必在TSRC漏洞確認后立即刪除，禁止二次利用獲取敏感信息。

(3) 禁止進行可能引起業務異常運行的測試，不得進行拒絕服務攻擊、大規模掃描等影響服務的可用性，不得篡改他人用戶數據等影響業務的完整性。

(4) 禁止使用可能造成業務影響的漏洞嘗試工具和手法，請謹慎開展安全測試，嚴禁影響業務正常運行。

(5) 測試越權漏洞或其他可能影響用戶數據的操作時，請將嘗試操作控制在自己創建的多個賬號生成的內容中，不得影響線上業務其他用戶的正常數據。

(6) 禁止使用物理接觸、社會工程學、釣魚、水坑等不在TSRC 獎勵計劃允許范圍內的攻擊手段。

(7) 請將所有測試操作和行為及時、如實、完整報告給TSRC，因故意瞞報、漏報等造成業務損害或潛在風險，TSRC保留追責權利。

附：

《TSRC漏洞處理和評分標準》

https://security.tencent.com/uploadimg_dir/other/TSRC.pdf

《SRC行業安全測試規范》

https://security.tencent.com/announcement/msg/180

處罰措施及法律責任：

1、 若您違反上述安全測試規范1次，TSRC將取消您當次漏洞獎勵并處以嚴厲警告。

2、 當您出現以下情形時，TSRC將取消您已獲得的所有榮譽，同時有權要求您返還所有獎勵（包括但不限于安全幣、榮譽稱號及排名、年終獎勵、日常關懷福利等）：

(1) 違反上述規范第1條；

(2) 影響騰訊業務正常運轉；

(3) 任何原因累計違反上述安全測試規范3次及以上

3、 如果您沒有遵守本規范，第三方或者國家機關可能會對您提起訴訟、罰款或采取其他制裁措施，并要求騰訊給予協助，您應當自行承擔法律責任。

4、 如因您違反本規范引發的任何糾紛，導致或產生第三方主張的任何索賠、要求或損失，您應當獨立承擔責任；騰訊因此遭受損失的，您也應當一并賠償。

5、 騰訊保留一切因您違反本規范而追究您法律責任的一切權利。