公告编号:DMSRC安全测试规范与用户协议作者:Dmsrc-admin发布日期:2022/02/23
为保护测试产品和白帽子的安全和利益,确保DMSRC漏洞奖励机制健康、安全执行,DMSRC特别发布《DMSRC安全测试规范与用户协议》,以提示白帽子在测试过程中应当满足的技术规范及法律要求。DMSRC同时诚邀所有白帽子按照测试规范提交多点DMALL安全漏洞,共建良好的互联网安全生态,禁止非法、不正当测试行为,保障各方合法权益。
1、 您仅可针对多点产品开展安全测试,同时,安全测试需要遵守《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》及相关法律法规的规定,采取合法、正当的方式,不得侵犯任何第三方合法权益。
2、 您不得利用计算机病毒、网络攻击、网络侵入、干扰多点DMALL网络正常功能、窃取多点DMALL网络数据等危害网络安全行为的技术措施(包括但不限于程序、工具)开展安全测试,如上传恶意文件及木马、增删改其他用户个人数据、添加后门账号/权限、扫描攻击内网等渗透行为,不得对国家安全、国计民生、公共利益的关键信息基础设施产生任何危害。
3、 您在开展安全测试时不得窃取或者以其他非法方式获取任何多点DMALL或者其他第三方的商业信息(包括但不限于源代码、运营数据、用户资料等)、个人信息,不得非法出售或者非法向他人提供多点DMALL或者其他第三方的商业信息、个人信息。
4、 未经多点DMALL授权,您不得向任何第三方公开漏洞或提供任何与多点DMALL产品有关的安全情报。
5、 您还应当遵守DMSRC-多点生活业务范围及重要程度判断标准 及SRC行业安全测试规范 ,重点强调以下几点:
(1)在测试过程中如包含数据获取功能时,包括但不限于 SQL 注入、用户资料的越权获取等,应尽可能的采取手动尝试,且获取的数据量不能超过 10 组。
(2)测试过程中获取的相关代码/数据,务必在DMSRC漏洞确认后立即删除,禁止二次利用获取敏感信息。
(3)禁止进行可能引起业务异常运行的测试,不得进行拒绝服务攻击、大规模扫描等影响服务的可用性,不得篡改他人用户数据等影响业务的完整性。
(4)禁止使用可能造成业务影响的漏洞尝试工具和手法,请谨慎开展安全测试,严禁影响业务正常运行。
(5)测试越权漏洞或其他可能影响用户数据的操作时,请将尝试操作控制在自己创建的多个账号生成的内容中,不得影响线上业务其他用户的正常数据。
(6)禁止使用物理接触、社会工程学、钓鱼、水坑等不在DMSRC 奖励计划允许范围内的攻击手段。
(7)请将所有测试操作和行为及时、如实、完整报告给DMSRC,因故意瞒报、漏报等造成业务损害或潜在风险,DMSRC保留追责权利。
1、 若您违反上述安全测试规范1次,DMSRC将取消您当次漏洞奖励并处以严厉警告。
2、 当您出现以下情形时,DMSRC将取消您已获得的所有荣誉,同时有权要求您返还所有奖励(包括但不限于安全币、荣誉称号及排名、年终奖励、日常关怀福利等):
(1)违反上述规范第1条;
(2)影响多点DMALL业务正常运转;
(3)任何原因累计违反上述安全测试规范3次及以上
3、 如果您没有遵守本规范,第三方或者国家机关可能会对您提起诉讼、罚款或采取其他制裁措施,并要求多点DMALL给予协助,您应当自行承担法律责任。
4、 如因您违反本规范引发的任何纠纷,导致或产生第三方主张的任何索赔、要求或损失,您应当独立承担责任;多点DMALL因此遭受损失的,您也应当一并赔偿。
5、 多点DMALL保留一切因您违反本规范而追究您法律责任的一切权利。
本协议是由通过多点DMALL安全应急响应中心(DMSRC)(以下简称“本平台”)提交漏洞或情报信息的用户(以下称为“您“)与多点DMALL公司及其他合作运营主体(下列简称为“多点公司”或“多点”)双方共同缔结。
在使用本平台前,请您务必仔细阅读并透彻理解本协议全部内容(特别是加粗的内容)。未成年人应在法定监护人的陪同下阅读本协议。除非您接受本协议条款,否则您不要主动勾选,以及应立即停止提供任何漏洞或情报信息。您一旦主动勾选,即表示您与多点DMALL公司已达成协议,自愿接受本协议的所有内容,本协议对您及多点DMALL公司均具有法律约束力。
一、协议的范围
1.1 本协议是您与多点之间订立的关于使用 DMSRC 平台及服务所订立的协议。
1.2"用户"或"您"是指通过DMSRC注册的账号,授权许可以及使用多点公司相关服务的个人或组织。
1.3 本协议内容同时包括多点可能不断发布的关于本服务的相关协议、业务规则等内容。上述内容一经正式发布,即为本协议不可分割的组成部分,您同样应当遵守。
二、关于本服务
2.1 您进入 DMSRC 网站(dmsrc.dmall.com)登录后可根据相关指引提交多点公司产品和服务的漏洞,DMSRC 将对您提交的 漏洞进行等级评估和评分,并依据评分结果给予一定奖励。具体评判标准见 DMSRC 网站页面所公布的《DMSRC 漏洞处理和评分标准》。
2.2 您理解并同意:在您将相关奖励进行礼品、现金等兑换、DMSRC 在向您发放相应奖金或其他必要的情况下,多点有权要求您提供包括但不限于如下个人信息资料(如果您不提供相关信息,可能无法进行礼品、现金兑换,或者无法获得 相关服务):
2.2.1 姓名,系您正在使用的公民身份证、护照以及其他有效身份证件载明 的姓名。 2.2.2 证件号码:您有效身份证件的编号。
2.2.3 移动电话:您本人的正在使用的移动电话号码。 2.2.4 联系地址:您本人常住的住所地址或有效的通讯地址。
2.3 用户理解:您在使用本服务过程中提供的个人信息资料必须是完整的、 真实的、有效的,多点对您提供的个人信息资料仅进行书面的、形式的审查,多点并没有能力验证、核实您个人信息资料的真实性;因您未提供完整的、真实的、有效的个人信息资料导致在本服务中产生的任何不利于您的后果均由您承担。您 应当准确填写并及时更新您的联系信息,以便我们与您进行有效联系,因通过这些联系方式无法与您取得联系,导致您所产生任何损失或后果的,由您全部承担。
三、用户的权利义务
3.1 您在使用多点产品和服务或进行漏洞收集、提交或发布时,应当遵守宪法、法律、法规和规章、公共秩序和社会公德以及本协议的规定,不得影响多点产品和服务的正常运行,不得侵害多点产品和服务的用户隐私和数据安全,不得 危害网络安全。
3.2 您不得利用多点产品和服务或在漏洞收集过程中从事包括但不限于危 害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分列国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害 他人名誉、隐私、知识产权和其他合法权益等活动。
3.3 您理解并同意:您是以研究和测试为目的进行漏洞发现和收集活动,基 于诚信原则提交漏洞信息,并确保您是依据您自身所拥有的知识和技能,通过合 法正当的方式和途径发现该漏洞信息的存在,您保证您所提交的漏洞信息所包含的全部权利为合法。
3.4 您理解并同意:您对您发现、收集、提交或发布漏洞等的研究或评估的 方式、方法、工具及手段的合法性负责,多点对此不承担任何法律责任。
3.5 您理解并同意:在进行漏洞收集、测试过程中,不得非法侵入多点网络、 干扰多点产品和服务的正常功能、窃取用户数据等;不得提供专门用于侵入多点 网络、干扰多点产品和服务正常功能、窃取用户数据等的程序和工具;并不得为 他人从事上述危害活动提供技术支持等帮助。
3.6DMSRC 尊重您的个人信息,将会采取必要的、合理的措施保护您的个人信 息,除用于受理、评判和处理您提交的漏洞及完整享受本服务、法律或有法律赋 予权限的有关部门要求或您同意等原因外,DMSRC 未经您的同意不向第三方公开 或透露您提交的本协议第 2.3 条所指的个人信息。
3.7 您理解并同意:您不得窃取或以其他非法方式获取多点产品和服务的用 户信息,不得非法出售或者非法向他人提供多点产品和服务的用户信息。
3.8 您理解并同意:您在 DMSRC 平台提交的漏洞报告等的所有权及全部知识 产权归多点所有。未经多点书面许可,您不得自行使用、向任何第三方披露或允 许第三方使用上述漏洞报告和该等知识产权。如您违反本条规定,多点有权追回 向您发放的所有奖励并追究您的法律责任。
3.9 您理解并同意:对您在发现、收集、提交或发布漏洞及本协议履行过程中所知悉的多点的技术秘密和商业秘密(以下简称"保密信息"),无论在本协 议期限内还是本协议终止后,您均负有严格的保密义务。
您保证,您所知悉的所有多点的保密信息只用于本协议的目的,不得用于其他任何目的。未经多点事先书面授权,您不得自行使用,或以任何方式向第三方披露、转让、许可使用、交换、赠与或与任何其他第三方共同或以任何其他方式使用该等保密信息。如您违反本条规定,多点有权追回向您发放的所有奖励,并追究您的法律责任。
保密信息包括但不限于:
(1)您已发现、收集、提交或发布的漏洞、情报信息,或即将向本平台报告、提交的漏洞、情报信息,包括但不限于漏洞名称、漏洞描述、漏洞地址、漏洞发现过程、漏洞证明截图、漏洞测试过程日志、漏洞危害等信息。
(2)您所了解的与本协议内容或多点DMALL公司有关的,未被公众知晓的任何技术、商业等数据或信息,如计算机程序、源代码、运算法则、专长、方法、方式、步骤、创意、发明(无论是否取得专利)、图表和其他技术、商业、财务和产品发展计划、预算、策略等相关的信息等。
四、用户行为规范
4.1【注意事项】 4.1.1 您充分理解并同意:DMSRC 某些功能可能会让 DMSRC 以外的组织或个人 知晓您的某些信息,例如:您在 DMSRC 平台上的昵称、排名等。您应了解本部分 的信息公开和透露可能会给您带来潜在风险,并自行承担由此造成的风险。 4.1.2 您充分理解并同意:为改善、优化相应服务,多点可能会对您在本服 务中的相关操作信息等进行使用,也可能通过多点服务或多点服务中的第三方提 供的服务向您本人、其他用户展示您的相关信息。多点也可能会基于安全因素, 收集、使用您在 DMSRC 平台上的相关操作行为等信息。 4.1.3 多点有权在本服务中或通过本服务向您展现各种信息,包括但不限 于、新闻信息及宣传信息等。 4.1.4 您理解并同意:DMSRC 将努力保障您在本服务中的数据存储安全,但 是,并不能就此提供完全保证,包括但不限于以下情形: (1)DMSRC 不对您在本服务中相关数据的删除或储存失败负责; (2)DMSRC 有权根据实际情况自行决定您在本服务中数据的最长储存期限、 服务器中数据的最大存储空间等,您可根据自己的需要自行备份本服务中的相关 数据。 (3)如果您停止使用本服务或服务被终止或取消,多点可以从服务器上永 久地删除您的数据。您的服务停止、终止或取消后,DMSRC 没有义务向您返还任 何数据。
4.2【五不准】 您在使用本服务时不得利用本服务从事以下行为,包括但不限于: (1)发布、传送、传播、储存违反国家法律、危害国家安全统一、社会稳 定、公序良俗、社会公德以及侮辱、诽谤、淫秽、暴力的内容; (2)发布、传送、传播、储存侵害他人名誉权、肖像权、知识产权、商业 秘密等合法权利的内容; (3)虚构事实、隐瞒真相以误导、欺骗他人; (4)发表、传送、传播广告信息及垃圾信息; (5)从事其他违反法律法规、政策及公序良俗、社会公德等的行为。
4.3【禁止行为】 除非法律允许或 DMSRC 书面许可,您不得从事下列行为:
(1)删除 DMSRC 官网及其副本上关于著作权的信息; (2)对 DMSRC 进行反向工程、反向汇编、反向编译,或者以其他方式尝试发 现的源代码; (3)对 DMSRC 拥有知识产权的内容进行使用、出租、出借、复制、修改、链 接、转载、汇编、发表、出版、建立镜像站点等; (4)对 DMSRC 、多点所有的系统或产品运行所必需的系统数据,进行复制、修改、增加、删除、挂接 运行或创作任何衍生作品,形式包括但不限于使用插件、外挂或非 DMSRC 授权的 第三方工具/服务接入; (5)通过修改或伪造 DMSRC 运行中的指令、数据,增加、删减、变动软件的 功能或运行效果,或者将用于上述用途的软件、方法进行运营或向公众传播,无 论这些行为是否为商业目的; (6)自行、授权他人或利用第三方软件对 DMSRC 及其组件、模块、数据等进 行干扰; (7)其他违反法律法规规定、侵犯其他用户合法权益、干扰产品正常运营 或未经多点明示授权、许可或违反本协议及相关协议、规则的行为。 您理解并同意:若您违反前述约定、本协议或相关法规政策,DMSRC 有权不 经您同意而直接终止向您提供服务。若由于 DMSRC 按照前述约定终止提供服务而 对您产生影响或任何损失的,您同意不追究多点的任何责任或不向 DMSRC 主张任何权利。
4.4【对自己行为负责】 您充分了解并同意,您必须为自己注册帐号下的一切行为负责。您应对使用 本服务时接触到的内容自行加以判断,并承担因使用内容而引起的所有风险,包 括因对内容的正确性、完整性或实用性的依赖而产生的风险。DMSRC 无法且不会对您因前述风险而导致的任何损失或损害承担责任。
4.5【违约处理】 如果 DMSRC 发现或收到他人举报您有违反本协议约定的,DMSRC 有权不经通知 随时对相关服务内容进行删除、屏蔽,并采取包括但不限于暂停、中止、终止 您使用本服务、追究法律责任等措施。
4.6【对第三方损害的处理】 您违反本协议约定,导致任何第三方损害或索赔的,您应当独立承担责任; 多点、多点关联公司或多点合作单位因此遭受损失的,您也应当一并赔偿。
五、DMSRC 的权利和义务
5.1DMSRC 提供与本服务有关的技术支持,并负责本网站的正常运行和维护。
5.2DMSRC 有权对您提交的漏洞信息和个人信息进行调查与核实,并在调查处 理完毕后向您的帐号及通讯设备发送相关处理结果。但并不因为 DMSRC 的调查和 审核,而减轻您对其提交的信息的完整性、真实性、合法性的保证责任,由此产 生的一切责任和后果仍由您单独承担。如 DMSRC 对您提供的信息的完整性、真实 性、合法性存在任何疑问时,DMSRC 有权发出通知要求您做出解释、改正,DMSRC 亦有权不通知而直接做出终止提供本服务、冻结帐号等处理。
5.3 您因使用本服务而与其他用户或任何第三方产生纠纷的,由您自行处理 并承担所有责任。
5.4 如 DMSRC 发现或收到他人举报用户存在违反本协议规定或相关法律法规、 政策的,有权向用户核实有关情况,限制用户活动,发出警告通知以及终止向该 用户提供服务。
六、网站的更新
6.1 为了增进用户体验、完善服务内容,DMSRC 将不断努力开发新的版本, DMSRC 有权不经向您特别通知而对网站进行更新,或者对部分功能效果进行改变 或限制。
6.2 新版本发布后,旧版本的服务可能无法使用。多点不保证旧版本功能继续可用及相应的客户服务,请您随时核对并使用最新版本。
七、第三方提供的产品或服务
您在多点平台上使用第三方提供的产品或服务时,除遵守本协议约定外,还应遵守第三方的用户协议。多点和第三方对可能出现的纠纷在法律规定和约定的 范围内各自承担责任。 多点不保证通过第三方提供服务及内容的安全性、准确性、有效性及其他不确定的风险,由此若引发的任何争议及损害,与多点无关,多点不承担任何责任。
八、知识产权声明
8.1 多点是 DMSRC 的知识产权权利人。DMSRC 的著作权、商标权、专利权、商 业秘密等知识产权,以及与 DMSRC 相关的所有信息内容(包括但不限于文字、图 片、音频、视频、图表、界面设计、版面框架、有关数据或电子文档等)均受中 华人民共和国法律法规和相应的国际条约保护,多点依法享有上述相关知识产权,但相关权利人依照法律规定应享有的权利除外。
8.2 未经多点或相关权利人书面同意,您不得为任何商业或非商业目的自行 或许可任何第三方实施、利用、转让上述知识产权。
九、安全责任
9.1 您理解并同意,本服务同大多数互联网软件、服务一样,可能会受多种因素影响(包括但不限于用户原因、网络服务质量、社会环境等);也可能会受各种安全问题的侵扰(包括但不限于他人非法利用用户资料,进行现实中的骚扰; 用户下载安装的其他软件或访问的其他网站中可能含有病毒、木马程序或其他恶 意程序,威胁您的信息和数据的安全,继而影响本本服务的正常使用等)。因此, 您应加强信息安全及个人信息的保护意识,注意密码保护,以免遭受损失。
9.2 您不得制作、发布、使用、传播用于窃取注册帐号及他人个人信息、财 产的恶意程序。 9.3 维护软件安全与正常使用是多点和您的共同责任,多点将按照行业标准合理审慎地采取必要技术措施保护您的终端信息和数据安全,但是您承认和同意多点不能就此提供任何保证。
十、第三方软件或技术
10.1 本服务可能会使用第三方软件或技术(包括本软件可能使用的开源 代码和公共领域代码等,下同),这种使用已经获得合法授权。
10.2 本服务如果使用了第三方的软件或技术,多点将按照相关法规或约定, 对相关的协议或其他文件,可能通过本协议附件、在本软件安装包特定文件夹中 打包等形式进行展示,它们可能会以"软件使用许可协议"、"授权协议"、"开源 代码许可证"或其他形式来表达。前述通过各种形式展现的相关协议或其他文件, 均是本协议不可分割的组成部分,与本协议具有同等的法律效力,您应当遵守这些要求。如果您没有遵守这些要求,该第三方或者国家机关可能会对您提起诉讼、 罚款或采取其他制裁措施,并要求多点给予协助,您应当自行承担法律责任。
十一、服务变更、中止或终止
11.1 您理解并同意:多点有权自主决定经营策略,有权在无需通知您的情况 下随时对本服务内容进行变更、修改,以及中断、中止或终止本服务。若由此 给您造成损失的,您同意放弃追究多点的责任。
11.2 您理解并同意:本协议约定的其他中止或终止条件发生或实现的,多点 有权随时中止或终止向您提供全部或部分本服务。
11.3 您理解并同意:如本协议或本服务因为任何原因终止的,对于您的帐号中的全部数据或您因使用本服务而存储在多点服务器中的数据等任何信息,多点可将该等信息保留或删除,包括服务终止前您尚未完成的任何数据,您同意不追究多点的任何责任或不向多点主张任何权利。
十二免责
12.1 您理解并同意:为了向您提供更完善的服务,多点有权定期或不定期 地对提供本服务的平台或相关设备进行检修、维护、升级等,此类情况可能会 造成相关服务在合理时间内中断或暂停的,若由此给您造成损失的,您同意放 弃追究多点的责任。
12.2 您理解并同意:多点的服务是按照现有技术和条件所能达到的现状提 供的。多点会尽最大努力向您提供服务,确保服务的连贯性和安全性;但多点 不能保证其所提供的服务毫无瑕疵,也无法随时预见和防范法律、技术以及其 他风险,包括但不限于不可抗力、病毒、木马、黑客攻击、系统不稳定、第三方服务瑕疵、政府行为等原因可能导致的服务中断、数据丢失以及其他的损失 和风险。所以您也同意:即使多点提供的服务存在瑕疵,但上述瑕疵是当时行 业技术水平所无法避免的,其将不被视为多点违约,同时,由此给您造成的数 据或信息丢失等损失的,您同意放弃追究多点的责任。
12.3 您理解并同意:在使用本服务的过程中,可能会遇到不可抗力等风险 因素,使本服务发生中断。不可抗力是指不能预见、不能克服并不能避免且对 一方或双方造成重大影响的客观事件,包括但不限于自然灾害如洪水、地震、 瘟疫流行和风暴等以及社会事件如战争、动乱、政府行为等。出现上述情况时, 多点将努力在第一时间与相关单位配合,及时进行修复,若由此给您造成损失 的,您同意放弃追究多点的责任。
12.4 您理解并同意:若由于以下情形导致服务中断或受阻,给您造成损失 的,您同意放弃追究多点的责任: (1)受到计算机病毒、木马或其他恶意程序、黑客攻击的破坏; (2)您或多点的电脑软件、系统、硬件和通信线路出现故障; (3)您操作不当; (4)您通过非多点授权的方式使用本服务; (5)其他多点无法控制或合理预见的情形。
十三、未成年人使用条款
13.1 若用户未满 18 周岁,则为未成年人,应在监护人监护、指导下阅读本 协议和使用本服务。
13.2 未成年人用户涉世未深,容易被网络虚象迷惑,且好奇心强,遇事缺 乏随机应变的处理能力,很容易被别有用心的人利用而又缺乏自我保护能力。因 此,未成年人用户在使用本服务时应注意以下事项,提高安全意识,加强自我保 护: (1)认清网络世界与现实世界的区别,避免沉迷于网络,影响日常的学习 生活; (2)填写个人资料时,加强个人保护意识,以免不良分子对个人生活造成 骚扰; (3)在监护人或老师的指导下,学习正确使用网络; (4)避免陌生网友随意会面或参与联谊活动,以免不法分子有机可乘,危 及自身安全。
13.3 监护人、学校均应对未成年人使用本服务时多做引导。特别是家长应 关心子女的成长,注意与子女的沟通,指导子女上网应该注意的安全问题,防患于未然。
十四、其他
14.1 您使用本服务即视为您已阅读并同意受本协议的约束。多点有权在必 要时修改本协议条款。您可以在本服务的最新版本中查阅相关协议条款。本协议 条款变更后,如果您继续使用本服务,即视为您已接受修改后的协议。如果您不 接受修改后的协议,应当停止使用本服务。
14.2 本协议签订地为中华人民共和国北京市海淀区。
14.3 本协议的成立、生效、履行、解释及纠纷解决,适用中华人民共和国大 陆地区法律(不包括冲突法)。
14.4 若您和多点之间发生任何纠纷或争议,首先应友好协商解决;协商不 成的,您同意将纠纷或争议提交本协议签订地有管辖权的人民法院管辖。
14.5 本协议所有条款的标题仅为阅读方便,本身并无实际涵义,不能作为本协议涵义解释的依据。
14.6 本协议条款无论因何种原因部分无效或不可执行,其余条款仍有效, 对双方具有约束力。
14.7如您对本协议内容有任何疑问,可发送邮件至本平台邮箱:infosec@dmall.com
《中华人民共和国网络安全法》、《中华人民共和国刑法》:
http://www.npc.gov.cn/npc/c30834/201611/270b43e8b35e4f7ea98502b6f0e26f8a.shtml
http://www.npc.gov.cn/wxzl/gongbao/2000-12/17/content_5004680.htm