[TPSA19-22]SRC行业安全测试规范

[TPSA19-22]SRC行业安全测试规范 公告编号：TPSA19-22公告来源：TSRC发布日期：2019-11-08 参与此标准制定的组织： 腾讯SRC、蚂蚁金服SRC、ASRC、阿里云先知、百度SRC、本地生活SRC、菜鸟SRC、滴滴SRC、京东SRC、LYSRC、蘑菇街SRC、陌陌SRC、360SRC、苏宁SRC、同舟共测-企业安全响应联盟、唯品会SRC、微博SRC、VIPKIDSRC、网易SRC、WiFi万能钥匙SRC、完美世界SRC、小米SRC（排名不分先后） 感谢以下白帽子对此规范提供的建议和认可： hackbar、SToNe、无心、、mmmark、ayound、算命先生、泳少、离兮、lakes、Adam、羽_、小笼包（随机排名，不分先后） 一、测试规范:  1. 注入漏洞，只要证明可以读取数据就行，严禁读取表内数据。对于UPDATE、DELETE、INSERT 等注入类型，不允许使用自动化工具进行测试。 2. 越权漏洞，越权读取的时候，能读取到的真实数据不超过5组，严禁进行批量读取。 3. 帐号可注册的情况下，只允许用自己的2个帐号验证漏洞效果，不要涉及