1. 在实现非授权访问或用户权限越权，完成非授权逻辑、越权逻辑验证时，禁止获取和留存用户信息和信息系统文件信息

2. 在执行数据库查询条件，可获得数据库实例、库表名称等信息证明时，禁止再查询涉及个人信息、业务信息的详细数据

3. 在获得系统主机、设备高权限，可得到当前用户系统环境信息证明时，禁止再获取其他用户数据和业务数据信息

4. 禁止利用当前主机或设备作为跳板，对目标网络内部区域进行扫描测试行为

5. 禁止进行有可能导致目标网络、主机、设备瘫痪的大流量、大规模扫描行为

6. 禁止可导致本地、远程拒绝服务危害的技术验证行为

7. 禁止可能导致整体业务逻辑扰动、产生用户或企业经济财产损失的技术验证行为

8. 在获得信息系统后台功能操作权限，得到当前用户角色属性证明时，禁止再利用系统功能实施编辑、增删、篡改等操作

9. 在获得系统主机、设备、数据库高权限，得到当前系统环境信息证明时，禁止再执行文件、程序、数据的编辑、增删、篡改等操作

10. 对于信息系统可上传解析、执行文件，获得解析和执行权限逻辑证明时，禁止保留带有控制性目的程序、代码

11. 禁止扫描或测试不属于测试范围内的客户的资产

12. 禁止执行任何类型的拒绝服务测试

13. 禁止对产生大量流量的服务执行自动化测试

行为规范：

1. 不得进行可能对企业、互联网或移动网正常运转造成不利影响的行为

2. 不得利用网络服务上传、展示或传播任何虚假的、骚扰性的、中伤他人的、辱骂性的、恐吓性的、庸俗淫秽的或其他任何非法的信息资料

3. 不得侵犯其他任何第三方的专利权、著作权、商标权、名誉权或其他任何合法权益

4. 不得进行任何不利于公司的行为

5. 不得未经允许，进入计算机信息网络或者使用计算机信息网络资源

6. 不得未经允许，对计算机信息网络功能进行删除、修改或者增加

7. 不得未经允许，对进入计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加

8. 不得故意制作、传播计算机病毒等破坏性程序

9. 不得有其他危害计算机信息网络安全的行为

基于网络安全法律法规的相关要求，为规范化渗透测试人员行为，应注意下列事宜：

● 渗透测试时间必须在客户授权的时间内，且测试对象必须是客户授权范围内的

● 在渗透测试过程中，杜绝因“好奇心”或“操作不当”窃取或篡改客户数据

● 对于渗透测试中发现的客户系统漏洞，应该及时联系客户修复，切勿对外公布

● 开展渗透测试过程中，切勿将带有恶意代码的程序对目标系统进行“试探性”攻击

● 对于开展渗透测试所获取的信息应遵循《保密法》及相关保密约定，禁止非法泄露任何获取到的信息

● 在渗透测试结束后，对工作中获取的信息进行及时归档、清除，防止因操作不当导致信息非法泄露