1.本次众测请勿使用任何形式的自动化测试工具、脚本进行测试、暴力破解、Fuzzing等。

2.遵守SRC测试规范，对于可深入利用的漏洞需要联系运营人员确认后才能继续，如后台弱口令登录后的功能查看、信息查看、漏洞深挖等。

3.漏洞确认以接口为准。譬如网站和app都存在任意密码重置漏洞，但是接口完全一致，算一个漏洞，请知晓。

4.通过弱口令、爆破等方式进入管理后台后发现的注入、越权等漏洞会做打包或者降级处理。

5.本次只有第一个提交的漏洞会被确认(漏洞描述不清的直接忽略) ，其余按照重复忽略。

6.SQL注入要求至少到注出数据库名称，不达标按驳回处理；

7.如果业务全站都未做过滤，存在十几个或者几十个注入等漏洞，ASRC会做一定的特殊处理，仅确认前三个，不提倡刷洞。

8.同一功能模块下多个注入点或者多个XSS、CSRF、越权等算一个漏洞。

9.测试过程中发现问题，请联系观行处理。

10.请按照漏洞标准正确勾选等级，勿随意勾选严重漏洞等级。

11.本次活动只接收符合以上标准的漏洞。

12.禁止使用大型自动化扫描工具，避免对用户的生产系统造成意外破坏，尽量手测；请勿进行可能影响服务稳定的测试，如DoS等。

13.禁止利用漏洞进行损害用户利益、影响业务运作、盗取用户数据等行为的，同时阿里巴巴集团保留采取进一步法律行动的权利。