【公告】中通安全应急响应中心漏洞评分标准V4.0正式发布
【公告】中通安全应急响应中心漏洞评分标准V4.0正式发布
中通安全应急响应中心 2024-10-25 09:22
为适应公司业务范围调整的变化
同时有效提升
中通SRC白帽师傅与平台的体验,
中通安全应急响应中心漏洞评分标准V4.0(试运行版)已
正式发布
(文末点击阅读原文可见完整内容)
为方便大家快速了解
现就本次更新的主要内容进行重点展示
业务系数说明
随着中通内部业务的发展变化,本次更新调整了
漏洞收取范围内的部分应用业务系数的划分,具体如下。
【核心应用】:
漏洞系数为
10
承载
中通核心业务的系统,包括但不限于掌中通、中通快递统一认证平台
等。
【一般应用】:漏洞系数为5承载中通非核心业务的系统,包括但不限于快递管家、兔喜快递超市、中通快递官网及小程序、在线客服系统等(兔喜为中通子公司业务,除兔喜快递超市外,兔喜其他主营业务均按照边缘应用系数计算)。
【边缘应用】:漏洞系数为1一般业务中的非核心业务,包含但不限于中通快递第三方供应商提供的系统、子公司系统、网点自建系统、与中通相关但非中通直接运营的业务等。子公司业务主要为中通快运、国际、商业、金融、云仓、传媒、冷链;网点自建系统、子公司边缘业务系统(如子公司供应商系统)仅收取包含用户敏感信息泄露相关等高危及以上安全漏洞。
安全漏洞评级标准
针对数据泄露相关漏洞,增加对应可参考的量级范围。同时对无影响(忽略)的问题有更详细的说明
严重漏洞(1)直接获取系统权限(如服务器权限)的漏洞。包括但不限于远程命令执行、任意代码执行、任意文件上传获取Webshell、缓冲区溢出、SQL注入获取系统可执行权限等。
(
2
)
直接导致业务系统拒绝服务的漏洞。
包括
但不限于通过远程拒绝服务漏洞直接导致线上核心应用、系统、服务器等无法继续提供服务的漏洞。
(
3
)严重级别的敏感信息泄露。
包括但不限于核心DB(身份、交易相关)的 SQL 注入,
接口问题等导致
大量敏感
数据明文泄露。
(
4
)涉及支付相关漏洞包括但不限于:
严重的逻辑错误、能够大量获取利益造成公司、用户损失的漏洞
(金额达100w元以上
)。
(
5
)生产业务系统严重的逻辑设计缺陷和流程缺陷。
包括但不仅限于任意账号登录、任意账号密码修改、任意账号资金消费、交易支付方面严重的问题等。公司类敏感信息数据量(员工真实姓名、手机号、具体地址、身份证号等)需满足
:
三个及以上字段组合数据量级达到
10w条以上,两个字段组合数据量级达到100w条以上。用户类敏感信息数据量用户类敏感数据(真实姓名、手机号、具体地址、身份证号等)需满足
:
三个及以上字段组合数据量级达到
100w条以上,两个字段组合数据量级达到800w条以上。
高危漏洞(1)重要敏感信息泄露。包括但不仅限于非核心DB的SQL 注入、重要源代码压缩包泄漏、可直接利用的敏感数据泄露等。(2)敏感信息越权访问,包括但不仅限于绕过认证直接访问管理后台、后台弱密码、任意订单查看、任意用户敏感信息访问、支持多种协议可获取大量内网敏感信息的 SSRF 等。(3)越权敏感操作。包括但不仅限于账号越权修改重要信息、进行订单普通操作、重要业务配置修改、查看敏感数据等较为重要的越权行为。(4)大范围影响用户的其他漏洞。包括但不仅限于可造成自动传播的存储型XSS等。公司类敏感信息数据量(真实姓名、手机号、具体地址、身份证号等)需满足
:
三个及以上字段组合数据量级达到
1w条以上,两个字段组合数据量级达到10w条以上。用户类敏感信息数据量用户类敏感数据(真实姓名、手机号、具体地址、身份证号等)需满足
:
三个及以上字段组合数据量级达到
20w条以上,两个字段组合数据量级达到100w条以上。
无影响(忽略)(1)不涉及安全问题的Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性、账户枚举等问题。
(
2)无法利用的漏洞。
包括但不仅限于 Self-XSS、无敏感操作的CSRF、无意义的异常信息泄漏、内网IP 地址/域名泄漏。
(
3)无法重现的漏洞。
包括但不仅限于纯属用户猜测、未经过验证的问题、无法实际危害证明的扫描器结果。
(
4)横向短信轰炸(对不同手机号发送短信)。
(
5)非核心账号体系的撞库、爆破等问题。
(
6
)
部分风险过低或难以利用的漏洞。
包括但不限于
PDF XSS、并发请求不重要的功能(如阅读量、点赞量、无法获利的积分等)、并发问题导致的短信轰炸、已有安全校验/控制的短信轰炸(如图形验证码等)、
无实际用处的
API Key泄露、本地拒绝服务漏洞
。
(
7
)内部已知、正在处理的漏洞。
包括但不限于如
Discuz等已在其他平台公开通用的,白帽子、内部已发现的漏洞。
(
8
)
一线快件处理人员的
姓名
&
电话
、
网点门店信息等为
需公开的
数据
,不属于敏感
信息
。
(
9
)
提交的报告过于简单、无法根据内容复现的安全漏洞。
(
10
)
不能直接反映提交的漏洞存在的问题,仅通过理论说明的。包括但不限于纯属用户猜测、无法复现、未经验证、无意义的扫描报告的问题。
安全漏洞报告质量要求
增加安全质量报告要求,请白帽子师傅务必根据上述的基本要求提供详尽的安全报告,否则将会被忽略处理。
【漏洞名称】:至少包含影响域名、漏洞类型
【漏洞详情】:
详
细
说明部分:
准确填写影响域名、漏洞类型、影响范围
/危害
漏洞证明部分:
根据具体步骤以完整文字表达和截图的形式对漏洞进行复现,复现内容包含所需的漏洞路径、漏洞参数、漏洞数据包、如有使用工具需提供工具名称。并在报告中体现漏洞的利用证明,说明其影响和危害。
修复方案部分:
至少提供一条可执行的修复建议。
【危害自评】:客观评级、不夸大
。
安全测试禁止项
安全测试禁止项
(1)严禁进行物理测试、社会工程学测试或任何其他非技术漏洞测试
(2)严禁使用扫描器或其他自动化工具等可能引起业务异常运行的测试行为
(3)严禁进行网络拒绝服务(Dos或DDoS)测试、内网渗透
(4)严禁一切利用安全漏洞恐吓用户、攻击竞争对手的行为
(
5)严禁在安全测试过程中修改、影响线上业务数据
(6)严禁下载保存/二次利用在测试过程中的敏感数据,包括但不限于Github 等平台泄露的源代码、用户类数据、公司类数据等,若存在不知情的下载行为,需及时说明和删除。
(7)严禁在最低验证或者常规漏洞测试范畴之外利用任何安全漏洞-注入漏洞严禁读取表内数据。
对于UPDATE、DELETE、INSERT 等注入类型,不允许使用自动化工具进行测试。-越权漏洞,读取时能够证明数量即可,
且要求
真实
数据不超过5组,严禁进行批量读取。-命令执行漏洞,证明漏洞存在即可,严禁植入文件或进行提权等高危操作
除上述以外,中通安全应急响应中心漏洞评分标准V4.0在统一评分原则、威胁情报评级标准等处也有微调,完整内容请点击下方查看原文进行查看
中通安全应急响应中心漏洞评分标准V4.0试运行时间:SRC平台公告发布日-11.16
点击阅读原文,查看最新漏洞评分标准全文