安全服务
渗透测试规范
1.禁止向第三方平台（如乌云、漏洞盒子、360补天等）提交任何与项目相关
的信息。

2.禁止向项目组以外的人员泄露客户的相关测试信息，包括客户名称、测试范
围、测试结果等一切涉及项目的信息。

3.禁止对系统进行拒绝服务、缓冲区溢出等影响系统可用性的测试。

4.禁止在生产系统中使用Appscan、WVS或其他扫描工具进行登录扫描。

5.禁止测试客户测试范围以外无关的系统，如测试流程中涉及到业务相关性的
其他系统须经项目经理确认。

6.测试中不能涉及非测试用户，不能对非测试用户进行测试，特别是不能破坏
非测试用户数据完整性。

7.测试仅限于确认漏洞的存在，禁止利用漏洞获取客户的生产数据（如客户要
求进行漏洞验证，原则上不超过5条）。

8.在测试SQL注入过程中，禁止使用对数据库造成破坏的语句，如DROP, DELETE,
UPDATE, CREATE, INSERT等进行SQL注入测试。

9.如测试人员认为需要使用上述方法进行测试，须经项目经理确认。

密级：内部使用。