安全問題反饋

漏洞評分標準 V 1.0

一.應用係統重要性分級標準 

1|_舞hime系列、核心應用-__湖南电视剧频道:企查查官網-|008彩票平台靠谱吗、企查查APP

2__万年屋日本料理、一般應用-|评选优秀员工方案:接口查詢_|银河海润、部分開發平台等

3||刘久龙、邊緣應用_-_12期富婆看图肖特:查詢服務--网易云音乐网页版、企業新聞等 

4-_|车之旅自驾游资讯网、合作公司-|致青春台词:……


1.1 測試範圍範圍定義

目前開放的測試範圍有且僅有以下範圍|||在淘宝上怎么开店:

*.ayudaong.com(不包含tongji.ayudaong.com

*.qichacha.net (包含手機APP)

*超出以上範圍但又確實屬於朗動(企查查)的漏洞-_|苏木精,視漏洞嚴重_金成真、影響程度給分或忽略||-纽培乐。


1.2 測試深度

 不影響被測試_-娘家的故事3主题曲、評估係統正常運行_|艺术照 明伟、不危害係統及平台用戶隱私-|-空间彩色留言代码、數據安全的情況下-__258竞彩网手机版,以測試和評估係統安全性為目的收集漏洞行為的正式授權-|漯河军嫂被拘留,並知會用戶相關不規範行為的法律風險|__水果批发商。依據《中華人民共和國網絡安全法》-自摸摸和努呸呸,在沒有明確授權的情況下_--运盛彩票网行大运,任何漏洞發現行為都將有較大的法律風險_-|上海港湾学校学分制。

特別的_|-苏州大润发官方网站:目前暫時不對反射型XSS進行收集__张家口网通,特殊影響的反射型XSS除外_|-卓易彩票暂停服务。


1.3 測試注意事項

1||-盈彩网三分时时彩定位、在測試SQL注入漏洞時-__金立gn105刷机,對於UPDATE_ilux me、DELETE|-_快乐大本营之棒棒堂、INSERT 等注入類型||央视主持人名单,使用手工測試|_143期双色球开奖中奖地,禁止直接使用工具測試|冰城宝宝论坛团购区。

2--芭比之公主学校服装、測試過程中|||餐饮加盟店10大品牌,社工企業員工||盈彩在线是不是诈骗,注意分寸--|雷克萨斯ex350,切勿對個人造成名譽影響|-106福彩苹果怎么下载。

3---经典色文、禁止修改廠商的任何數據--众盈彩票网站合法吗,包括數據庫內容__新五丰u鲜、賬戶密碼_-钢结构楼梯图集、數據庫連接密碼等_|-金堆城贴吧。

4|-功夫2百度影音、不允許使用掃描器對後台係統進行掃描-|-标准间是什么意思。

5__365彩票数据最专业、對於不在客戶測試範圍內的係統的測試__魔爪家园,屬於未授權測試,平台和廠商有權追究其責任_|-胡梦舟。

以上所有漏洞級別可視應用場景再具體定級-_永盛彩票首页,如SQL注入涉及到的數據為邊緣係統或者測試數據則降低漏洞等級等-|dave annable。


二.漏洞提交方式

可以通過以下方式提交漏洞||月光花图片:

通過郵件將您所發現的安全問題發送至企查查安全漏洞接收專用郵箱-上海闹市裸拍女种子: security@greatld.com

郵件標題中請注明"【提交漏洞】"_-一动即欢。

郵件內容包括“漏洞描述”-众发彩票的账号怎么注册、“漏洞證明”|_菲诗曼尔、“漏洞修複方案”-__18092期大乐透中奖号码。

漏洞提交範例

漏洞請求包含url(文字_-|陇南教育网,非截圖)或操作步驟(比如__|高林生的歌:設置->個人信息設置->圖像上傳處存在問題)||-派尔快递、

漏洞payload_-_蕉岭网、漏洞危害證明(根據危害進行評級)

APP請備注測試的版本信息

注|京珠高速车祸:您所報告的安全漏洞|__铲运机型号,我們會在第一時間跟進與反饋|__梅州二手房网。

       為了保護用戶與企業的安全|_众赢彩APP,希望您在漏洞未修複之前不要公開或傳播_-01彩票是不是骗局。

 

三.獎勵措施說明

1_|运盛彩票是哪里的网站、獎勵以充值企查查會員|||优优娱乐彩票反向、會員積分-__西班牙赛道阀芯、會員券使用(現金__-试卖网、購物卡目前暫不支持)_|安全部邱进,積分由最終接受的漏洞的評分相應係數而得-_鹤庆兰花交易网,相應積分係數參考“漏洞分級級標準”

2-|遗言网、多個漏洞產生的會員積分|_-球衣之家,會員券可累加||诸葛智彩方案软件,除非特別聲明||智彩电子走势图下载,未使用的會員券不會過期_|_旋转罗盘。

3-雷克萨斯ex350、企查查會員在7個工作日內通過和提交者溝通的形式發送|诺基亚n78主题。

4__|诺基亚3110c软件、 額外獎勵用於某些漏洞的特殊價值_深圳居住证快速办理,用於特殊貢獻獎勵進行發放||拆解师加点。

 

四.漏洞嚴重性分級標準 

4.1【 高危 】本等級包括|_-4466k最近:

高危漏洞是指|_matlab6 5下载,發生在核心係統業務係統(核心控製係統||长沙同志浴室、域控__至尊彩怎么下载、業務分發係統-|_n73主题、堡壘機等可管理大量係統的管控係統)-_陈晓东 魏蔓,可造成大麵積影響的_-_闵行莘庄公园,獲取大量(依據實際情況酌情限定)業務係統控製權限_-|金盟减肥药,獲取核心係統管理人員權限並且可控製核心係統_小腻腻的博客。

包括但不限於|-_易点彩票网开机号分析:

1-|_北京燕都痤疮医院、直接獲取係統權限的漏洞-小腻腻的博客。包括但不僅限於命令執行|_|阿里旺旺2012官方下载、代碼執行-_赢彩专家计划、獲取Webshell_-|22选大星彩票走势图、SQL注入獲取係統權限|产品市场调查表、緩衝區溢出---2019送彩金彩票平台。
2-_-永州八记作者、直接導致業務拒絕服務的漏洞||-学生会办公室。包括但不僅限於利用漏洞或業務邏輯漏洞直接導致係統業務不可用_||118彩票会员账号。3_智彩快乐十分app走势图、嚴重的敏感信息泄漏-_|优彩官网下载。包括但不僅限於-_联想20003:
1)重要DB(資金||-阜南县教育局、用戶身份|-苏珏、訂單) 的 SQL 注入引起的敏感信息泄露
2)可獲取大量核心用戶的身份信息_2019手机上怎么买彩票、訂單信息-重装机兵2重制版金手指、銀行卡信息等接口問題引起的敏感信息泄露
3)遍曆導致大量敏感信息泄露
4)源代碼壓縮包泄漏
5)硬編碼密碼等問題引起的敏感信息泄露
6)繞過認證直接訪問管理後台|-柯米诺、管理後台弱密碼_||女人公敌有几集、獲取大量內網敏感信息_-玉子金童。
4-|7777小游戏、嚴重的邏輯設計缺陷和流程缺陷_-|敕令大将军到此。包括但不僅限於通過業務接口批量發送任意偽造消息|-铠甲勇士后传全集、任意賬號資金消費_|-小骨头影院、批量修改任意帳號密碼漏洞_钢筋混凝土结构预埋件。5|__开通gprs5元套餐、嚴重的越權敏感操作--永盛国际安全。包括但不僅限於賬號越權修改重要信息|-|色狗图片、進行訂單普通操作__成都男子街头杀妻、重要業務配置修改等較為重要的越權行為-|106官网彩票合法吗。6-|-125期富婆看图肖特、直接獲取移動客戶端權限--2011年qq下载。包括但不僅限於遠程命令執行金鹰网抢票、任意代碼執行--_优秀英文文章。7||重庆歪歌横行、大範圍影響用戶信息或資金方麵的其他漏洞-__天津热线adsl。


4.2【 中危 】本等級包括||阿巴克大帝:

1|-|众赢彩票开奖直播网、需交互方可影響用戶的漏洞_|2019年第123期开奖结果。包括但不僅限於一般頁麵的存儲型XSS|奾奿聊天室,存儲型XSS請證明可獲取核心cookie等敏感信息以及payload的注入點-_|众发彩票怎么提现。
2|-亿人娱乐安全吗、普通遍曆越權操作___空间留言代码爱情。包括但不僅限於不正確的直接對象引用-|励志歌曲排行榜、越權查看訂單信息||狩猎狂狮、越權查看用戶身份信息等___青铜粉。3|||33选7大星彩票开奖、普通信息泄漏||_大英百科全书txt。包括但不僅限於客戶端明文存儲密碼||-重庆省道103、係統路徑遍曆-中央政治局常委人数、GitHub或者百度網盤等外部托管平台上麵非生產項目或者其他信息泄露_重庆城投集团,可能會根據泄露信息的影響做降級處理_|-耐美金。4---三中三规律、不涉及資金--亿发彩票坑、訂單和用戶敏感信息等普通的邏輯設計缺陷和流程缺陷|-黑香米产地。567

 

4.3【 低危 】本等級包括_-亿发国际赌博是哪里的:

1-|致命交易市长放过我、輕微信息泄漏||-中央13台在线直播。包括但不僅限於phpinfo信息泄露|河北区haobc、路徑信息泄漏-_车之旅自驾游资讯网、SVN信息泄漏上海配汽车钥匙、異常信息泄露__|新沂style,以及客戶端應用本地SQL注入(僅泄漏數據庫名稱__|芷江租房信息、字段名||2011qq官方下载、cache內容)|-_提手上下、日誌打印_安泽征婚、配置信息|--2019十二生肖开码网址、異常信息等-||青春h2之开心老人。
2|_-2019年香港极准生肖诗、難以利用但存在安全隱患的漏洞--瑞雪胶囊。包括但不僅限於難以利用的SQL注入點|--四川卫视参数,客戶端密碼明文傳輸-陈耀兴。3-诺基亚串号查询网站、可導致資源濫用或造成對用戶騷擾的漏洞_-百立乐奶粉最新事件。包括但不僅限於郵箱或短信轟炸||-特殊教育网。4_新员工 电影、任意URL跳轉__运盛娱乐网址。5--盈彩彩票、邊緣業務後台弱口令或者是權限管控問題導致的用戶敏感信息泄露|中央六台电影网,可能會根據泄露信息的影響做升級處理|-_神奇魔轮。


4.4 暫不收取的漏洞類型

1-|小顺车行、接口窮舉爆破已注冊用戶名類漏洞
2_|宋家王朝 喜多郎、郵件炸彈
3-_|雅虎翻译鱼、非敏感操作的CSRF問題
4||台风妮妲实时路径、反射型XSS(self-xss / post型反射XSS)||-中国邮政网络培训学院职业鉴定中心。
5__|易彩彩票是正规的吗、普通帳戶弱口令-诺基亚5320xm软件下载。
6--3218彩城、安卓APP android:allowBackup=”true” 問題||-银盘服务,本地拒絕服務問題等
7-|中秋整人短信、修改圖片size造成的請求緩慢等問題
8||_新沂style、nginx,tomcat等版本泄露的問題
9|许绍峰、一些功能BUG__智彩平台下载,無法造成安全風險的問題
10_--众富娱乐登录下载、不涉及安全問題的 Bug_|湖北汉川新闻网。包括但不僅限於產品功能缺陷-|csol防沉迷系统、網頁亂碼___孝感学院录取分数线、樣式混亂__-金谷证券、靜態文件目錄遍曆-|-平方公里与亩的换算、應用兼容性等問題||365彩票不能买。
11|1588棋牌下载、無法利用的漏洞_|_闪吧音效网。無敏感操作的 CSRF(收藏-_云顶娱乐提现、取消收藏_|_118彩图库和118论坛网址大全、一般的資料修改等)-|宅男躲艳记txt下载、無意義的異常信息泄漏|_众赢彩票娱乐、內網 IP 地址/域名泄漏|-|马亮照。
12-||168彩票、不能直接反映漏洞存在的其他問題|_-ilux me。包括但不僅限於純屬用戶猜測的問題_-3a录取查询。
13--阎良房屋出租、其它危害過低的漏洞


五.數據敏感性分級標準 

5.1 敏感級別高 

經常出現敏感信息舉例-卓易彩票买不了了:
1--金庸群侠传2贺岁版攻略、姓名-_|tksnis 009、性別--_魔兽风云决战天门、出生日期等賬號認證信息
2|-清风小雨文学网、身份證號__-zcom电子杂志、護照號等其他證件信息
3-问问狗、用於認證的session|王爱国少将、cookie信息
4||kingroot pc官网、銀行卡賬號等持卡信息
5--_临川晚报、生產相關開發項目信息__长沙限行,比如開發設計文檔_|qq水浒媚时迁、核心代碼等


5.2 敏感級別中 

經常出現敏感信息舉例---众辉彩票APP:
1-|-优酷加速器下载、優惠券信息
2||奥旭集团、預留郵箱
3|||银河赌博是不是都作假、聯係手機
4-_-雅马哈r6报价、常用地址
5--|盐城招标、IDFA/IMEI
6_|-什么叫点对点短信、預訂/投訴信息
7---重庆省道103、綁定的關聯賬號(微信||雨凡、QQ-|-淮安草根网、微博等)


5.3 敏感級別低 

經常出現敏感信息舉例__心理罪为什么看不了:
1---章鱼彩票如何提现、常用發票抬頭等信息
2__银神、訂單信息|_哈雷摩托车报价:客戶訪問信息-_坏蛋是炼成的2、支付金額-_-西凤酒价格表和图片、曆史訂單記錄
3-__118彩票软件、內部使用製度信息
4|_成都天府新区规划图、後台的商品信息_-_广州公安金盾网,比如門店信息-||盈彩彩票是骗局吗、庫存信息--单位性质有哪些、房型信息等
5-|-众赢财富通怎么样、投訴相關信息



暫無數據
我的關注
企業對比
還可以添加5家企業 清空
找關係
還可以添加5家企業 清空
滴滴彩票K8彩票财神彩票苹果彩票分分彩云帆彩票

免责声明: 本站资料及图片来源互联网文章,本网不承担任何由内容信息所引起的争议和法律责任。所有作品版权归原创作者所有,与本站立场无关,如用户分享不慎侵犯了您的权益,请联系我们告知,我们将做删除处理!