標籤:

漏洞提交級別說明

a)高危安全問題:

1、直接獲取業務伺服器許可權的漏洞。包括但不限於任意命令執行、上傳獲取webshell、直接導致嚴重的信息泄漏漏洞。

2、包括但不限於核心DB的SQL注入漏洞(涉及用戶數據、訂單數據、交易數據),直接導致嚴重影響的邏輯漏洞。

3、包括但不限於任意帳號密碼更改漏洞。

4、越權訪問,僅限於重要業務線批量獲取訂單類信息的漏洞(敏感數據明文)、用戶數據信息(明文)、繞過驗證直接訪問後台、重要後台登錄弱口令。

b)中危安全問題:

1、需交互才能獲取用戶身份信息的漏洞。

2、包括但不限於任意文件讀、寫、刪除、下載等操作。

3、包括但不限於繞過限制修改用戶資料、執行用戶操作,較嚴重的信息泄漏漏洞

4、包括但不限於批量獲取用戶類、訂單類信息的漏洞。

5、非核心業務SQL注入,不涉及用戶數據、訂單數據、交易數據,按中風險處理

c)低危安全問題:

1、普通邏輯漏洞;普通信息泄露;需交互才能獲取用戶身份信息並且有一定利用難度的漏洞。

2、Discuz 漏洞問題均按低風險處理(discuz非qunar主要業務)

3、批量下訂單、發垃圾簡訊、加關注按低風險處理

4、越權訪問,包含敏感信息且打碼,按低風險處理

5、代理商弱口令及密碼等信息通過雲盤、筆記、QQ群備註等泄漏的按低風險處理

6、代理商及合作方後台地址外泄導致暴力破解,按低風險處理。

7、猜測或遍歷網站註冊用戶,按低風險處理

d)忽略的問題(無費用):

1、不涉及安全問題的bug,包括但不限於網站產品功能缺陷、頁面亂碼、樣式混編等。

2、不會直接帶來安全問影響,包括但不限於繞過WAF對業務無影響的,Self-XSS,非登錄相關的URL跳轉,非敏感操作的CSRF,非敏感信息的JSON Hijacking,無意義的源碼泄漏、程序出錯而暴露出來無安全影響的信息、內網IP/域名泄漏,以及需藉助中間人攻擊才能實現的問題。

3、無法重現的漏洞、不能直接體現漏洞的其他問題。包括但不限於純屬用戶推測的問題(需要案例)。

4、廠商內部自行發現的,廠商SRC已知的,第三方漏洞平台報告過的漏洞做忽略處理,且廠商提供相應截圖(其中:高危:4小時,中危:14天,低危:28天)。

5、第三方已披露的漏洞(基礎應用0day,開發框架0day等),距離公告期兩天以上且廠商已知曉的。

6、由於已經對關鍵位置實施HttpOnly限制,XSS漏洞暫不接收(後台盲打類xss除外)。

7、無線訂單鏈接越權查看(用戶等信息打碼,不能遍歷)的按低風險處理

*廠商鼓勵白帽子挖掘高危安全漏洞,如用戶訂單相關的、產品邏輯設計方面的安全漏洞。

注意事項:

1,禁止將項目的測試範圍及規則對外公開

2,漏洞在未公布之前禁止對外公開

3,禁止使用DDOS,自動化掃描工具等可能影響正常業務的攻擊手法

4,涉及以上行為賬戶賞金將凍結,廠商保留追究法律責任的權利。


推薦閱讀:

安卓開發/反編譯工具中多存在嚴重漏洞
Linux PIE/stack 內存破壞漏洞(CVE–2017–1000253)預警
Intel處理器漏洞Meltdown(熔毀)和Spectre(幽靈)應急處置建議
如何批量找SQL注入(工具+資源都打包)

TAG:漏洞挖掘 |