漏洞评分标准 v 1.0
一.应用系统重要性分级标准
1、核心应用:企查查凯发k8网页登录官网、企查查app
2、一般应用:接口查询、部分开发平台等
3、边缘应用:查询服务、企业新闻等
4、合作公司:……
1.1 测试范围定义
目前开放的测试范围有且仅有以下范围:qcc.com、企查查app
*超出以上范围但又确实属于企查查的漏洞,视漏洞严重、影响程度给分或忽略。
1.2 测试深度
不影响被测试、评估系统正常运行、不危害系统及平台用户隐私、数据安全的情况下,以测试和评估系统安全性为目的收集漏洞行为的正式授权,并知会用户相关不规范行为的法律风险。依据《中华人民共和国网络安全法》,在没有明确授权的情况下,任何漏洞发现行为都将有较大的法律风险。
特别的:目前暂时不对反射型xss进行收集,特殊影响的反射型xss除外。
1.3 测试注意事项
1、在测试sql注入漏洞时,对于update、delete、insert 等注入类型,使用手工测试,禁止直接使用工具测试。
2、测试过程中,社工企业员工,注意分寸,切勿对个人造成名誉影响。
3、禁止修改厂商的任何数据,包括数据库内容、账户密码、数据库连接密码等。
4、不允许使用扫描器对后台系统进行扫描。
5、对于不在客户测试范围内的系统的测试,属于未授权测试,平台和厂商有权追究其责任。
以上所有漏洞级别可视应用场景再具体定级,如sql注入涉及到的数据为边缘系统或者测试数据则降低漏洞等级等。
二.漏洞提交方式
可以通过以下方式提交漏洞:
通过邮件将您所发现的安全问题发送至企查查安全漏洞接收专用邮箱:
邮件标题中请注明"【提交漏洞】"。
邮件内容包括“漏洞描述”、“漏洞证明”、“漏洞修复方案”。
*漏洞提交范例*
漏洞请求包含url(文字,非截图)或操作步骤(比如:设置->个人信息设置->图像上传处存在问题)、
漏洞payload、漏洞危害证明(根据危害进行评级)
app请备注测试的版本信息
注:您所报告的安全漏洞,我们会在第一时间跟进与反馈。
为了保护用户与企业的安全,希望您在漏洞未修复之前不要公开或传播。
三.奖励措施说明
1、奖励以充值企查查会员、会员积分、会员券使用(现金、购物卡目前暂不支持),积分由最终接受的漏洞的评分相应系数而得,相应积分系数参考“漏洞分级级标准”
2、多个漏洞产生的会员积分,会员券可累加,除非特别声明,未使用的会员券不会过期。
3、企查查会员在7个工作日内通过和提交者沟通的形式发送。
4、 额外奖励用于某些漏洞的特殊价值,用于特殊贡献奖励进行发放。
四.漏洞严重性分级标准
4.1【 高危 】等级
高危漏洞是指,发生在核心系统业务系统(核心控制系统、域控、业务分发系统、堡垒机等可管理大量系统的管控系统),可造成大面积影响的,获取大量(依据实际情况酌情限定)业务系统控制权限,获取核心系统管理人员权限并且可控制核心系统。
包括但不限于:
1、直接获取系统权限的漏洞。包括但不仅限于命令执行、代码执行、获取webshell、sql注入获取系统权限、缓冲区溢出。
2、直接导致业务拒绝服务的漏洞。包括但不仅限于利用漏洞或业务逻辑漏洞直接导致系统业务不可用。3、严重的敏感信息泄漏。包括但不仅限于:
1)重要db(资金、用户身份、订单) 的 sql 注入引起的敏感信息泄露
2)可获取大量核心用户的身份信息、订单信息、银行卡信息等接口问题引起的敏感信息泄露
3)遍历导致大量敏感信息泄露
4)源代码压缩包泄漏
5)硬编码密码等问题引起的敏感信息泄露
6)绕过认证直接访问管理后台、管理后台弱密码、获取大量内网敏感信息。
3、严重的逻辑设计缺陷和流程缺陷。包括但不仅限于通过业务接口批量发送任意伪造消息、任意账号资金消费、批量修改任意帐号密码漏洞。
4、严重的越权敏感操作。包括但不仅限于账号越权修改重要信息、进行订单普通操作、重要业务配置修改等较为重要的越权行为。
5、直接获取移动客户端权限。包括但不仅限于远程命令执行、任意代码执行。
6、大范围影响用户信息或资金方面的其他漏洞。
4.2【 中危 】等级
1、需交互方可影响用户的漏洞。包括但不仅限于一般页面的存储型xss,存储型xss请证明可获取核心cookie等敏感信息以及payload的注入点。
2、普通遍历越权操作。包括但不仅限于不正确的直接对象引用、越权查看订单信息、越权查看用户身份信息等。3、普通信息泄漏。包括但不仅限于客户端明文存储密码、系统路径遍历、github或者百度网盘等外部托管平台上面非生产项目或者其他信息泄露,可能会根据泄露信息的影响做降级处理。
4、不涉及资金、订单和用户敏感信息等普通的逻辑设计缺陷和流程缺陷。
4.3【 低危 】等级
1、轻微信息泄漏。包括但不仅限于phpinfo信息泄露、路径信息泄漏、svn信息泄漏、异常信息泄露,以及客户端应用本地sql注入(仅泄漏数据库名称、字段名、cache内容)、日志打印、配置信息、异常信息等。
2、难以利用但存在安全隐患的漏洞。包括但不仅限于难以利用的sql注入点,客户端密码明文传输。3、可导致资源滥用或造成对用户骚扰的漏洞。包括但不仅限于邮箱或短信轰炸。4、任意url跳转。5、边缘业务后台弱口令或者是权限管控问题导致的用户敏感信息泄露,可能会根据泄露信息的影响做升级处理。
4.4 暂不收取的漏洞类型
1、接口穷举爆破已注册用户名类漏洞
2、邮件炸弹
3、非敏感操作的csrf问题
4、反射型xss(self-xss / post型反射xss)。
5、普通帐户弱口令。
6、安卓app android:allowbackup=”true” 问题,本地拒绝服务问题等
7、修改图片size造成的请求缓慢等问题
8、nginx,tomcat等版本泄露的问题
9、一些功能bug,无法造成安全风险的问题
10、不涉及安全问题的 bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性等问题。
11、无法利用的漏洞。无敏感操作的 csrf(收藏、取消收藏、一般的资料修改等)、无意义的异常信息泄漏、内网 ip 地址/域名泄漏。
12、不能直接反映漏洞存在的其他问题。包括但不仅限于纯属用户猜测的问题。
13、其它危害过低的漏洞
五.数据敏感性分级标准
5.1【 敏感级别高 】
经常出现敏感信息举例:
1、姓名、性别、出生日期等账号认证信息
2、身份证号、护照号等其他证件信息
3、用于认证的session、cookie信息
4、银行卡账号等持卡信息
5、生产相关开发项目信息,比如开发设计文档、核心代码等
5.2【 敏感级别中 】
经常出现敏感信息举例:
1、优惠券信息
2、预留邮箱
3、联系手机
4、常用地址
5、idfa/imei
6、预订/投诉信息
7、绑定的关联账号(微信、qq、微博等)
5.3【 敏感级别低 】
经常出现敏感信息举例:
1、常用发票抬头等信息
2、订单信息:客户访问信息、支付金额、历史订单记录
3、内部使用制度信息
4、后台的商品信息,比如门店信息、库存信息、房型信息等
5、投诉相关信息