安全問題反饋

漏洞評分標準 V 1.0

一.應用係統重要性分級標準 

1-_-365爱购网靠谱吗、核心應用_-雪弗莱官网:企查查官網||台湾最新消息、企查查APP

2_芦山县委书记被免职、一般應用---22福利彩票官方ios软件:接口查詢-_锦皓、部分開發平台等

3--|庆春电影大世界影讯、邊緣應用|-寒山寺招聘:查詢服務-|小爸爸优酷电视剧全集、企業新聞等 

4__|106官网彩票安全、合作公司__众亿大厅作弊器:……


1.1 測試範圍範圍定義

目前開放的測試範圍有且僅有以下範圍-若风从零单排闯韩服:

*.ayudaong.com(不包含tongji.ayudaong.com

*.qichacha.net (包含手機APP)

*超出以上範圍但又確實屬於朗動(企查查)的漏洞_--四平青年百度影音,視漏洞嚴重|-|长治教育信息网、影響程度給分或忽略|_-聚美优品网站打不开。


1.2 測試深度

 不影響被測試__盈众彩票幸福常伴、評估係統正常運行||汕尾台风、不危害係統及平台用戶隱私--_穿越神墓之何为逆天、數據安全的情況下___车之旅自驾游资讯网,以測試和評估係統安全性為目的收集漏洞行為的正式授權|-_188福地彩票官网,並知會用戶相關不規範行為的法律風險-|111彩票安卓系统。依據《中華人民共和國網絡安全法》--|运动裤尺码,在沒有明確授權的情況下-|_金色笔记,任何漏洞發現行為都將有較大的法律風險_双城市政府。

特別的_|致胜网络科技有限公司:目前暫時不對反射型XSS進行收集_-淘宝网开店,特殊影響的反射型XSS除外|-注册送28的彩票app。


1.3 測試注意事項

1|-英冠附加赛、在測試SQL注入漏洞時|-_28彩票注册链接,對於UPDATE_-01彩票forios、DELETE|-_蹲坑姐、INSERT 等注入類型-|sky浪翻云,使用手工測試-|007a私募内线,禁止直接使用工具測試-|虞城县教育网。

2-_兴安证券、測試過程中--风行者观察站,社工企業員工-_云顶娱乐靠谱吗,注意分寸|--农行网银维护,切勿對個人造成名譽影響_-芭芭卡伦。

3|-2019注册送500彩金、禁止修改廠商的任何數據--_钢之魔法师2,包括數據庫內容-__功夫周星驰国语、賬戶密碼__姜培琳 刘军、數據庫連接密碼等_-盈彩app。

4|--银利半岛卡、不允許使用掃描器對後台係統進行掃描___365彩票国际电话。

5___雨凡、對於不在客戶測試範圍內的係統的測試-_-镇江舰,屬於未授權測試,平台和廠商有權追究其責任|_|印度电视剧新娘之无悔的爱。

以上所有漏洞級別可視應用場景再具體定級-|丽柜厅直播,如SQL注入涉及到的數據為邊緣係統或者測試數據則降低漏洞等級等__众彩彩票骗局揭秘。


二.漏洞提交方式

可以通過以下方式提交漏洞||仙桃影视:

通過郵件將您所發現的安全問題發送至企查查安全漏洞接收專用郵箱||吉全手机论坛: security@greatld.com

郵件標題中請注明"【提交漏洞】"_-历届德甲冠军。

郵件內容包括“漏洞描述”|__意彩账号注册、“漏洞證明”|_武汉欢乐谷年票、“漏洞修複方案”||众赢彩票网址是多少。

漏洞提交範例

漏洞請求包含url(文字_-诺基亚翻盖手机,非截圖)或操作步驟(比如__|北水手机网:設置->個人信息設置->圖像上傳處存在問題)_-|盈彩网三分时时彩定位、

漏洞payload_角马网、漏洞危害證明(根據危害進行評級)

APP請備注測試的版本信息

注|--600741:您所報告的安全漏洞-|-365彩票邀请码,我們會在第一時間跟進與反饋-黄牛课件网。

       為了保護用戶與企業的安全_-_2M全年彩图,希望您在漏洞未修複之前不要公開或傳播|掌上永辉职工app考勤。

 

三.獎勵措施說明

1|-_永盛移票是骗局吗?、獎勵以充值企查查會員|__我爱你金亨俊、會員積分__-金立l7、會員券使用(現金-易中彩票代玩账号兼职、購物卡目前暫不支持)-_-11选5,積分由最終接受的漏洞的評分相應係數而得--_爱相约国际交友网,相應積分係數參考“漏洞分級級標準”

2_|-苏州园区临时工招聘、多個漏洞產生的會員積分-_|运动裤尺码,會員券可累加_-2012时尚女装雪纺衫,除非特別聲明|-_谢谢你的温柔mv,未使用的會員券不會過期||_11086移动彩票登不进去。

3||_劫机哥、企查查會員在7個工作日內通過和提交者溝通的形式發送--致哀 志哀。

4青山湖区教体局、 額外獎勵用於某些漏洞的特殊價值--食品包装设计论文,用於特殊貢獻獎勵進行發放_22彩票害死人。

 

四.漏洞嚴重性分級標準 

4.1【 高危 】本等級包括-新娘之无悔的爱全集:

高危漏洞是指_-陈嘉男,發生在核心係統業務係統(核心控製係統--6坪是多大、域控__淘宝助手5 5官方下载、業務分發係統|_雨小薇、堡壘機等可管理大量係統的管控係統)|-11086移动彩票app,可造成大麵積影響的_灌口二手房,獲取大量(依據實際情況酌情限定)業務係統控製權限-|绍兴古筝,獲取核心係統管理人員權限並且可控製核心係統|_苏芩博客。

包括但不限於|-房室交叉:

1|-淘宝热卖女装、直接獲取係統權限的漏洞-_198彩登录地址。包括但不僅限於命令執行-|何萌萌、代碼執行|众购彩票手机app下载、獲取Webshell-_123彩票官网站首页、SQL注入獲取係統權限|_3g彩票开奖、緩衝區溢出||注册送彩金彩票cp。
2__松原地震最新消息2018、直接導致業務拒絕服務的漏洞|--108娱乐3d平台。包括但不僅限於利用漏洞或業務邏輯漏洞直接導致係統業務不可用|_|168手机彩票。3||_办公耗材培训、嚴重的敏感信息泄漏|_内地综艺节目男主持人排行榜。包括但不僅限於__|赢彩网app:
1)重要DB(資金||什么车性价比最高、用戶身份-|_0808彩票、訂單) 的 SQL 注入引起的敏感信息泄露
2)可獲取大量核心用戶的身份信息___ok数据网、訂單信息__160彩票苹果版、銀行卡信息等接口問題引起的敏感信息泄露
3)遍曆導致大量敏感信息泄露
4)源代碼壓縮包泄漏
5)硬編碼密碼等問題引起的敏感信息泄露
6)繞過認證直接訪問管理後台--盈盈彩票888yyccom、管理後台弱密碼-|_掌信彩app下载、獲取大量內網敏感信息|_艾爵护理液。
4-_|仙剑5激活码破解、嚴重的邏輯設計缺陷和流程缺陷|_九年级数学教学工作总结。包括但不僅限於通過業務接口批量發送任意偽造消息|_四川教育学院温江校区、任意賬號資金消費__钓鱼台国宾馆服务员、批量修改任意帳號密碼漏洞-利爪之王艾吉斯。5|_-金寨房屋出租、嚴重的越權敏感操作|_-安利电动车。包括但不僅限於賬號越權修改重要信息--|李驰的博客、進行訂單普通操作|_轰9、重要業務配置修改等較為重要的越權行為-|金鹏图。6|-雪弗莱科帕奇、直接獲取移動客戶端權限|北京市统计局信息直报网。包括但不僅限於遠程命令執行-优优娱乐11选5好不好、任意代碼執行__金立l7。7__-novela机械碟刹、大範圍影響用戶信息或資金方麵的其他漏洞--|丁丁与杨坤。


4.2【 中危 】本等級包括-_双色球精准预测6十1:

1-||1999年彩票中奖号码、需交互方可影響用戶的漏洞--|盈盈彩官网。包括但不僅限於一般頁麵的存儲型XSS--芭比娃娃组合图片,存儲型XSS請證明可獲取核心cookie等敏感信息以及payload的注入點-|-亿彩彩票是真的假的。
2|_好听的行会名字、普通遍曆越權操作|-观心者胡戈伦。包括但不僅限於不正確的直接對象引用--解放军466医院耳鼻喉、越權查看訂單信息|_-128彩票、越權查看用戶身份信息等___易旺彩票网开了多久了。3_--qq2009手机版、普通信息泄漏___038彩票官网。包括但不僅限於客戶端明文存儲密碼_苏州大润发官方网站、係統路徑遍曆|盈彩网彩票、GitHub或者百度網盤等外部托管平台上麵非生產項目或者其他信息泄露|_-易发彩票可不可以提现,可能會根據泄露信息的影響做降級處理||-铜旗阵。4||-诺基亚n79主题下载、不涉及資金|242电影天堂、訂單和用戶敏感信息等普通的邏輯設計缺陷和流程缺陷|_东汉书院校歌。567

 

4.3【 低危 】本等級包括-_三中全会2014:

1|_金沙石产地、輕微信息泄漏_-|查网时。包括但不僅限於phpinfo信息泄露|_36选7开奖结果今天福建、路徑信息泄漏-|苟同、SVN信息泄漏--红米pro评测、異常信息泄露-||038彩票黑钱吗?,以及客戶端應用本地SQL注入(僅泄漏數據庫名稱_|-爱相约、字段名_--榆林市人力资源和社会保障局、cache內容)|_掌上彩票为什么不能用、日誌打印_苏州地税网上申报、配置信息-_-腾翼c70何时上市、異常信息等_-_众盈策略平台是哪里的。
2-__长乐市人民政府网、難以利用但存在安全隱患的漏洞-栾城黑社会。包括但不僅限於難以利用的SQL注入點---索爱刷机,客戶端密碼明文傳輸|-云购彩票网页版。3-__两朝太岁、可導致資源濫用或造成對用戶騷擾的漏洞__|消防概念股。包括但不僅限於郵箱或短信轟炸__亿彩彩票不能提现了。4__移动彩票平台可靠吗、任意URL跳轉-__奢侈品牌标志。5||快乐女声报名、邊緣業務後台弱口令或者是權限管控問題導致的用戶敏感信息泄露|_-优信彩票平台,可能會根據泄露信息的影響做升級處理-_运盛彩票输了。


4.4 暫不收取的漏洞類型

1-||160彩票靠谱么、接口窮舉爆破已注冊用戶名類漏洞
2|相信自己 mp3、郵件炸彈
3-|陈志平博客、非敏感操作的CSRF問題
4---海华癫痫、反射型XSS(self-xss / post型反射XSS)|-|336时时彩平台害人样。
5|_038彩票官方版6分的、普通帳戶弱口令|--智彩11选5走势图。
6_||有关春天的词语、安卓APP android:allowBackup=”true” 問題_||众彩娱乐的北京pk10,本地拒絕服務問題等
7_-永盛彩票网靠谱吗、修改圖片size造成的請求緩慢等問題
8___金清实验小学、nginx,tomcat等版本泄露的問題
9|易富娱乐彩票app、一些功能BUG---骑刃王全集,無法造成安全風險的問題
10|-群力新区、不涉及安全問題的 Bug--雪佛兰小黄蜂报价。包括但不僅限於產品功能缺陷__-加菲网、網頁亂碼|-右图是一个蛋糕盒、樣式混亂|-|锐度锦绣江南、靜態文件目錄遍曆_|12579彩票吉祥数字是什么、應用兼容性等問題||遂宁英语网。
11-||注册彩票平台送彩金、無法利用的漏洞-|-通成物流单号查询。無敏感操作的 CSRF(收藏-_北京466耳鼻喉、取消收藏---反间谍工作的主管单位、一般的資料修改等)-_脊柱宝、無意義的異常信息泄漏_||众发彩票是合法的吗、內網 IP 地址/域名泄漏|_125345赢彩天。
12-冰恋小龙女、不能直接反映漏洞存在的其他問題|-铜皮规格。包括但不僅限於純屬用戶猜測的問題||南京联单印刷。
13_||长城p800、其它危害過低的漏洞


五.數據敏感性分級標準 

5.1 敏感級別高 

經常出現敏感信息舉例||_诺基亚1600保密码:
1|_-赛尔号光天使、姓名-||钢铁新娘结局、性別-_|旅游鞋品牌、出生日期等賬號認證信息
2-|御龙在天野蘑菇坐标、身份證號-|antonia 霍启仁、護照號等其他證件信息
3_-火票网、用於認證的session|--阿玛拉王国武器锻造、cookie信息
4_上海股市大盘、銀行卡賬號等持卡信息
5||_步步惊情港台版、生產相關開發項目信息___爱相约国际交友网,比如開發設計文檔_-|衡水热线、核心代碼等


5.2 敏感級別中 

經常出現敏感信息舉例-_赢钱彩网站:
1_-_掌上新华APP、優惠券信息
2|_-kingroot pc官网、預留郵箱
3--12306智行火车票官网、聯係手機
4__-欧布 奥特曼、常用地址
5|-|zcom电子杂志、IDFA/IMEI
6_--湖南台最近的电视剧、預訂/投訴信息
7-|108娱乐真的赚钱吗、綁定的關聯賬號(微信-_小腻腻博客、QQ|_2019年体彩30元好彩头、微博等)


5.3 敏感級別低 

經常出現敏感信息舉例--无翼乌全彩无漫画大全老师:
1||霞飞路28号、常用發票抬頭等信息
2||鹊桥卡灰、訂單信息|_-铁路狂奔:客戶訪問信息--168彩票值得玩吗、支付金額||105彩票苹果版怎么没了、曆史訂單記錄
3|-_u盘修复大师、內部使用製度信息
4-_-丁丁与杨坤、後台的商品信息-_林娜冰21,比如門店信息_|平顶山市一中珍珠班、庫存信息--陈怡阳台门、房型信息等
5|-苏州新区人才市场现场招聘、投訴相關信息



暫無數據
我的關注
企業對比
還可以添加5家企業 清空
找關係
還可以添加5家企業 清空
捷豹彩票星彩彩票国民彩票如意彩票四季彩票双赢彩票

免责声明: 本站资料及图片来源互联网文章,本网不承担任何由内容信息所引起的争议和法律责任。所有作品版权归原创作者所有,与本站立场无关,如用户分享不慎侵犯了您的权益,请联系我们告知,我们将做删除处理!