公告编号:作者:0dayadmin发布日期:2024/05/16
1. 禁止利用漏洞:不要在最低验证或者漏洞指标核实测试要求范畴之外利用任何安全漏洞;
2. 禁止拒绝服务攻击:不要进行网络拒绝服务(DoS 或DDoS)测试;
3. 禁止更多攻击技术:不要进行物理测试、社会工程学测试或任何其他非技术漏洞测试;
5. 禁止泄露漏洞数据:不要在任何情况下泄露漏洞测试过程中所获知的任何数据;
6. 禁止公开漏洞细节:在未收到某司的明确书面授权之前,不要公开披露或提供关于某司产品或服务安全漏洞的任何细节信息;
7. 禁止任何过度的攻击行为:反对和谴责一切以漏洞测试为借口,利用安全漏洞进行破坏、损害系统及用户的利益的攻击行为。
二、漏洞类型:
1. 直接获取目标系统权限的漏洞,包括并不限于:远程代码执行、远程命令执行、任意文件上传等。
2. 逻辑设计缺陷导致的未授权或信息泄露,最终导致泄露数据量超过100万条数据的。
3. 云服务或端口转发类服务的失控导致攻击者接管云服务器或数据的,例如nps未授权(无实际内网代理配置,不予收录)等。
4. 前台未授权SQL注入漏洞(弱口令后台注入认定为前台未授权SQL注入)。
5. 超过1w用户账号的任意账号密码重置、任意用户登录、任意核心内容删除、任意用户删除等。
6. 可导致任意文件读取漏洞,如可任意文件读取的XXE(可读取web目录以外文件证明:如windows的c:/windows/win.ini,Linux的/etc/passwd)。
7. 严重影响的支付漏洞。
1. 后台SQL注入。
2. 管理后台弱口令漏洞(有注册功能仅收录管理员账户,无注册功能可收录其他账户)。
3. 逻辑设计缺陷导致的未授权或信息泄露,最终导致泄露数据量在1w到100w之间的。
4. 源码信息泄露、大量敏感日志信息泄露、密文密码泄露且可解密明文的。
5. 横向越权与纵向越权漏洞。
6. 有限的任意文件读取漏洞(例如仅限制web目录下)。
7. 存储型 XSS(需弹cookie证明)。
8. 普通设计缺陷,包括但不限于登录窗口可爆破(需提供成功案例,6位数验证码爆破除外)。
9. Redis,kafka等未授权或弱口令漏洞。
1. 一般影响或无意义的接口越权。
2. 需要借助钓鱼实施攻击的漏洞,包括但不限于反射XSS(需弹cookie证明),有一定危害的敏感操作的CSRF漏洞。
3. 利用场景有限的漏洞,包括但不限于JSONP劫持、可导致用户接管的URL重定向等。
1. 无法利用的或无实际危害的漏洞。包括但不限于不可利用的Self-XSS。
2. 静态文件目录遍历。
3. phpinfo。
4. 无意义的URL重定向。
5. 列举有限的验证码或密码爆破。
6. 401 认证钓鱼。
7. 无实际意义的扫描器结果报告。
8. 非重要交互(如:查询类操作)的 CSRF。
9. 无敏感信息(如:用户昵称、用户个人公开的信息、已脱敏的敏感信息等)的JSONP劫持。
10. 短信轰炸、邮箱轰炸。
11. 实际业务安全性无影响的 Bug,包括但不限于产品功能缺陷、页面乱码、样式混乱等。
三、提交规范:
1漏洞名字(单位名字)
1资产证明(图片)
1漏洞URL
1 ip
4步骤(图片)
1数据包
资产证明:
漏洞URL:https://hlwyy.xxxx.com:18888/ezzxyy-app-server/services/system/updateAddress
漏洞ip:(查询链接http://ip.webmasterhome.cn/?ip=)
