漏洞提交級別說明
a)高危安全問題:
1、直接獲取業務伺服器許可權的漏洞。包括但不限於任意命令執行、上傳獲取webshell、直接導致嚴重的信息泄漏漏洞。
2、包括但不限於核心DB的SQL注入漏洞(涉及用戶數據、訂單數據、交易數據),直接導致嚴重影響的邏輯漏洞。
3、包括但不限於任意帳號密碼更改漏洞。
4、越權訪問,僅限於重要業務線批量獲取訂單類信息的漏洞(敏感數據明文)、用戶數據信息(明文)、繞過驗證直接訪問後台、重要後台登錄弱口令。
b)中危安全問題:
1、需交互才能獲取用戶身份信息的漏洞。
2、包括但不限於任意文件讀、寫、刪除、下載等操作。
3、包括但不限於繞過限制修改用戶資料、執行用戶操作,較嚴重的信息泄漏漏洞
4、包括但不限於批量獲取用戶類、訂單類信息的漏洞。
5、非核心業務SQL注入,不涉及用戶數據、訂單數據、交易數據,按中風險處理
c)低危安全問題:
1、普通邏輯漏洞;普通信息泄露;需交互才能獲取用戶身份信息並且有一定利用難度的漏洞。
2、Discuz 漏洞問題均按低風險處理(discuz非qunar主要業務)
3、批量下訂單、發垃圾簡訊、加關注按低風險處理
4、越權訪問,包含敏感信息且打碼,按低風險處理
5、代理商弱口令及密碼等信息通過雲盤、筆記、QQ群備註等泄漏的按低風險處理
6、代理商及合作方後台地址外泄導致暴力破解,按低風險處理。
7、猜測或遍歷網站註冊用戶,按低風險處理
d)忽略的問題(無費用):
1、不涉及安全問題的bug,包括但不限於網站產品功能缺陷、頁面亂碼、樣式混編等。
2、不會直接帶來安全問影響,包括但不限於繞過WAF對業務無影響的,Self-XSS,非登錄相關的URL跳轉,非敏感操作的CSRF,非敏感信息的JSON Hijacking,無意義的源碼泄漏、程序出錯而暴露出來無安全影響的信息、內網IP/域名泄漏,以及需藉助中間人攻擊才能實現的問題。
3、無法重現的漏洞、不能直接體現漏洞的其他問題。包括但不限於純屬用戶推測的問題(需要案例)。
4、廠商內部自行發現的,廠商SRC已知的,第三方漏洞平台報告過的漏洞做忽略處理,且廠商提供相應截圖(其中:高危:4小時,中危:14天,低危:28天)。
5、第三方已披露的漏洞(基礎應用0day,開發框架0day等),距離公告期兩天以上且廠商已知曉的。
6、由於已經對關鍵位置實施HttpOnly限制,XSS漏洞暫不接收(後台盲打類xss除外)。
7、無線訂單鏈接越權查看(用戶等信息打碼,不能遍歷)的按低風險處理
*廠商鼓勵白帽子挖掘高危安全漏洞,如用戶訂單相關的、產品邏輯設計方面的安全漏洞。
注意事項:
1,禁止將項目的測試範圍及規則對外公開
2,漏洞在未公布之前禁止對外公開
3,禁止使用DDOS,自動化掃描工具等可能影響正常業務的攻擊手法
4,涉及以上行為賬戶賞金將凍結,廠商保留追究法律責任的權利。
推薦閱讀:
※安卓開發/反編譯工具中多存在嚴重漏洞
※Linux PIE/stack 內存破壞漏洞(CVE–2017–1000253)預警
※Intel處理器漏洞Meltdown(熔毀)和Spectre(幽靈)應急處置建議
※如何批量找SQL注入(工具+資源都打包)
TAG:漏洞挖掘 |