必须要授权测试
19 个回答
要避免涉及互联网安全法律问题,在进行SQL注入测试时,请务必遵守以下几点:
合法授权:仅在获得授权的情况下进行测试。确保你有权访问和测试目标系统,最好是经过书面授权或者合同的形式。
仅限测试环境:确保你的测试仅在专门为此目的建立的测试环境中进行,不要将测试应用到生产环境中。
不要破坏数据:在测试过程中,不要对系统中的数据进行任何更改、删除或者破坏操作,以免触犯法律。
不要访问未经授权的数据:避免访问未经授权的数据,包括个人身份信息、财务信息等敏感信息。
记录所有行为:在进行测试时,确保记录所有的行为和操作,以便在需要时进行解释或者证明。
遵守中国安全法律法规:在进行测试时,遵守中国安全的法律法规,了解并遵循与网络安全相关的法律法规。
与合适的团队合作:如果可能的话,与安全团队或者法律顾问合作,确保你的行为符合法律和道德标准。
遵循道德准则:遵循网络安全的道德准则,不要滥用你的技能或者访问权利。
总的来说,要避免涉及互联网安全法律问题,就是要确保你的测试是在合法授权、受控的环境下进行的,并且遵守相关的法律和道德准则。
1、严禁对数据库进行增加,修改,删除的操作,负责会影响正常系统业务
2、无论是否授权,都禁止做脱库的行为
3、一切测试需要在有授权的情况下去做,严谨违法渗透,及时在有授权的情况下,也需要对数据进行脱敏保护和保密
最好有授权,无授权的情况下一般直接在生产环境测,在增加删除这种功能点不要使用工具去跑,手注只需要注出user证明漏洞存在即可,你也可以去提交src、cnvd等,但是这种情况下严格来说还是触犯法律的,只不过不会追究你
非授权的渗透都是非法的,只要出了问题,责任跑不了;若是非授权的 如果采用自动化注入工具进行注入,产生的测试流量有点大,GA那边监测到了,说不定也会被请过去喝茶,所以无授权,不渗透。如果是授权的渗透,看注入点的类型,若是insert delete等这些注入点,那只能手动测试证明数据库即可。反正就是对业务有影响的要把控好。