安全问题反馈

漏洞评分标准 V 1.0

一.应用系统重要性分级标准 

1、核心应用:1分pk10开奖结果官网、1分pk10开奖结果APP

2、一般应用:接口查询、部分开发平台等

3、边缘应用:查询服务、企业新闻等 

4、合作公司:……


1.1 测试范围范围定义

目前开放的测试范围有且仅有以下范围:

*.qichacha.com(不包含tongji.qichacha.com

*.qichacha.net (包含手机APP)

*超出以上范围但又确实属于朗动(1分pk10开奖结果)的漏洞,视漏洞严重、影响程度给分或忽略。


1.2 测试深度

 不影响被测试、评估系统正常运行、不危害系统及平台用户隐私、数据安全的情况下,以测试和评估系统安全性为目的收集漏洞行为的正式授权,并知会用户相关不规范行为的法律风险。依据《中华人民共和国网络安全法》,在没有明确授权的情况下,任何漏洞发现行为都将有较大的法律风险。

特别的:目前暂时不对反射型XSS进行收集,特殊影响的反射型XSS除外。


1.3 测试注意事项

1、在测试SQL注入漏洞时,对于UPDATE、DELETE、INSERT 等注入类型,使用手工测试,禁止直接使用工具测试。

2、测试过程中,社工企业员工,注意分寸,切勿对个人造成名誉影响。

3、禁止修改厂商的任何数据,包括数据库内容、账户密码、数据库连接密码等。

4、不允许使用扫描器对后台系统进行扫描。

5、对于不在客户测试范围内的系统的测试,属于未授权测试,平台和厂商有权追究其责任

以上所有漏洞级别可视应用场景再具体定级,如SQL注入涉及到的数据为边缘系统或者测试数据则降低漏洞等级等。


二.漏洞提交方式

可以通过以下方式提交漏洞:

通过邮件将您所发现的安全问题发送至1分pk10开奖结果安全漏洞接收专用邮箱: security@greatld.com

邮件标题中请注明"【提交漏洞】"。

邮件内容包括“漏洞描述”、“漏洞证明”、“漏洞修复方案”。

漏洞提交范例

漏洞请求包含url(文字,非截图)或操作步骤(比如:设置->个人信息设置->图像上传处存在问题)、

漏洞payload、漏洞危害证明(根据危害进行评级)

APP请备注测试的版本信息

注:您所报告的安全漏洞,我们会在第一时间跟进与反馈。

       为了保护用户与企业的安全,希望您在漏洞未修复之前不要公开或传播。

 

三.奖励措施说明

1、奖励以充值1分pk10开奖结果会员、会员积分、会员券使用(现金、购物卡目前暂不支持),积分由最终接受的漏洞的评分相应系数而得,相应积分系数参考“漏洞分级级标准”

2、多个漏洞产生的会员积分,会员券可累加,除非特别声明,未使用的会员券不会过期。

3、1分pk10开奖结果会员在7个工作日内通过和提交者沟通的形式发送。

4、 额外奖励用于某些漏洞的特殊价值,用于特殊贡献奖励进行发放。

 

四.漏洞严重性分级标准 

4.1【 高危 】本等级包括:

高危漏洞是指,发生在核心系统业务系统(核心控制系统、域控、业务分发系统、堡垒机等可管理大量系统的管控系统),可造成大面积影响的,获取大量(依据实际情况酌情限定)业务系统控制权限,获取核心系统管理人员权限并且可控制核心系统。

包括但不限于:

1、直接获取系统权限的漏洞。包括但不仅限于命令执行、代码执行、获取Webshell、SQL注入获取系统权限、缓冲区溢出。
2、直接导致业务拒绝服务的漏洞。包括但不仅限于利用漏洞或业务逻辑漏洞直接导致系统业务不可用。3、严重的敏感信息泄漏。包括但不仅限于:
1)重要DB(资金、用户身份、订单) 的 SQL 注入引起的敏感信息泄露
2)可获取大量核心用户的身份信息、订单信息、银行卡信息等接口问题引起的敏感信息泄露
3)遍历导致大量敏感信息泄露
4)源代码压缩包泄漏
5)硬编码密码等问题引起的敏感信息泄露
6)绕过认证直接访问管理后台、管理后台弱密码、获取大量内网敏感信息。
4、严重的逻辑设计缺陷和流程缺陷。包括但不仅限于通过业务接口批量发送任意伪造消息、任意账号资金消费、批量修改任意帐号密码漏洞。5、严重的越权敏感操作。包括但不仅限于账号越权修改重要信息、进行订单普通操作、重要业务配置修改等较为重要的越权行为。6、直接获取移动客户端权限。包括但不仅限于远程命令执行、任意代码执行。7、大范围影响用户信息或资金方面的其他漏洞。


4.2【 中危 】本等级包括:

1、需交互方可影响用户的漏洞。包括但不仅限于一般页面的存储型XSS,存储型XSS请证明可获取核心cookie等敏感信息以及payload的注入点。
2、普通遍历越权操作。包括但不仅限于不正确的直接对象引用、越权查看订单信息、越权查看用户身份信息等。3、普通信息泄漏。包括但不仅限于客户端明文存储密码、系统路径遍历、GitHub或者百度网盘等外部托管平台上面非生产项目或者其他信息泄露,可能会根据泄露信息的影响做降级处理。4、不涉及资金、订单和用户敏感信息等普通的逻辑设计缺陷和流程缺陷。567

 

4.3【 低危 】本等级包括:

1、轻微信息泄漏。包括但不仅限于phpinfo信息泄露、路径信息泄漏、SVN信息泄漏、异常信息泄露,以及客户端应用本地SQL注入(仅泄漏数据库名称、字段名、cache内容)、日志打印、配置信息、异常信息等。
2、难以利用但存在安全隐患的漏洞。包括但不仅限于难以利用的SQL注入点,客户端密码明文传输。3、可导致资源滥用或造成对用户骚扰的漏洞。包括但不仅限于邮箱或短信轰炸。4、任意URL跳转。5、边缘业务后台弱口令或者是权限管控问题导致的用户敏感信息泄露,可能会根据泄露信息的影响做升级处理。


4.4 暂不收取的漏洞类型

1、接口穷举爆破已注册用户名类漏洞
2、邮件炸弹
3、非敏感操作的CSRF问题
4、反射型XSS(self-xss / post型反射XSS)。
5、普通帐户弱口令。
6、安卓APP android:allowBackup=”true” 问题,本地拒绝服务问题等
7、修改图片size造成的请求缓慢等问题
8、nginx,tomcat等版本泄露的问题
9、一些功能BUG,无法造成安全风险的问题
10、不涉及安全问题的 Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性等问题。
11、无法利用的漏洞。无敏感操作的 CSRF(收藏、取消收藏、一般的资料修改等)、无意义的异常信息泄漏、内网 IP 地址/域名泄漏。
12、不能直接反映漏洞存在的其他问题。包括但不仅限于纯属用户猜测的问题。
13、其它危害过低的漏洞


五.数据敏感性分级标准 

5.1 敏感级别高 

经常出现敏感信息举例:
1、姓名、性别、出生日期等账号认证信息
2、身份证号、护照号等其他证件信息
3、用于认证的session、cookie信息
4、银行卡账号等持卡信息
5、生产相关开发项目信息,比如开发设计文档、核心代码等


5.2 敏感级别中 

经常出现敏感信息举例:
1、优惠券信息
2、预留邮箱
3、联系手机
4、常用地址
5、IDFA/IMEI
6、预订/投诉信息
7、绑定的关联账号(微信、QQ、微博等)


5.3 敏感级别低 

经常出现敏感信息举例:
1、常用发票抬头等信息
2、订单信息:客户访问信息、支付金额、历史订单记录
3、内部使用制度信息
4、后台的商品信息,比如门店信息、库存信息、房型信息等
5、投诉相关信息



暂无数据
我的关注
企业对比
还可以添加5家企业 清空
找关系
还可以添加5家企业 清空