平台
企业src
安全客企业SRC导航
百度SRC
阿里SRC
蚂蚁集团SRC
腾讯SRC
360SRC
小米SRC
滴滴SRC
苏宁SRC
微博SRC
京东SRC
企业src-第3方平台
补天
漏洞盒子
众测
补天众测
雷神众测
360众测
SRC行业安全测试规范
每个src平台都有自己的测试准则,挖掘前请仔细阅读,不要送自己去踩缝纫机。
参考资料
适用平台:百度SRC、蚂蚁金服SRC、ASRC、阿里云先知、菜鸟SRC、本地生活SRC、同舟共测-企业安全响应联盟、腾讯SRC、360SRC、小米SRC、滴滴SRC、苏宁SRC、唯品会SRC、微博SRC、美丽联合SRC、网易SRC、VIPKIDSRC、WiFi万能钥匙SRC、完美世界SRC、京东SRC、71SRC、vivoSRC、陌陌SRC、同程SRC
- 注入漏洞,只要证明可以读取数据就行,严禁读取表内数据。对于UPDATE、DELETE、INSERT 等注入类型,不允许使用自动化工具进行测试。
- 越权漏洞,越权读取的时候,能读取到的真实数据不超过5组,严禁进行批量读取。
- 帐号可注册的情况下,只允许用自己的2个帐号验证漏洞效果,不要涉及线上正常用户的帐号,越权增删改,请使用自己测试帐号进行。帐号不可注册的情况下,如果获取到该系统的账密并验证成功,如需进一步安全测试,请咨询管理员得到同意后进行测试。
- 存储xss漏洞,正确的方法是插入不影响他人的测试payload,严禁弹窗,推荐使用console.log,再通过自己的另一个帐号进行验证,提供截图证明。对于盲打类xss,仅允许外带domain信息。所有xss测试,测试之后需删除插入数据,如不能删除,请在漏洞报告中备注插入点。
- 如果可以shell或者命令执行的,推荐上传一个文本证明,如纯文本的1.php、1.jsp等证明问题存在即可,禁止下载和读取服务器上任何源代码文件和敏感文件,不要执行删除、写入命令,如果是上传的webshell,请写明shell文件地址和连接口令。
- 在测试未限制发送短信或邮件次数等扫号类漏洞,测试成功的数量不超过50个。如果用户可以感知,例如会给用户发送登陆提醒短信,则不允许对他人真实手机号进行测试。
- 如需要进行具有自动传播和扩散能力漏洞的测试(如社交蠕虫的测试),只允许使用和其他账号隔离的小号进行测试。不要使用有社交关系的账号,防止蠕虫扩散。
- 禁止对网站后台和部分私密项目使用扫描器。
- 除特别获准的情况下,严禁与漏洞无关的社工,严禁进行内网渗透。
- 禁止进行可能引起业务异常运行的测试,例如:IIS的拒绝服务等可导致拒绝服务的漏洞测试以及DDOS攻击。
- 请不要对未授权厂商、未分配给自己的项目、超出测试范围的列表进行漏洞挖掘,可与管理员联系确认是否属于资产范围后进行挖掘,否则未授权的法律风险将由漏洞挖掘者自己承担。
- 禁止拖库、随意大量增删改他人信息,禁止可对服务稳定性造成影响的扫描、使用将漏洞进行黑灰产行为等恶意行为。
- 敏感信息的泄漏会对用户、厂商及上报者都产生较大风险,禁止保存和传播和业务相关的敏感数据,包括但不限于业务服务器以及Github 等平台泄露的源代码、运营数据、用户资料等,若存在不知情的下载行为,需及时说明和删除。
- 尊重《中华人民共和国网络安全法》的相关规定。禁止一切以漏洞测试为借口,利用安全漏洞进行破坏、损害用户利益的行为,包括但不限于威胁、恐吓SRC要公开漏洞或数据,请不要在任何情况下泄露漏洞测试过程中所获知的任何信息,漏洞信息对第三方披露请先联系SRC获得授权。企业将对违法违规者保留采取进一步法律行动的权利。
在漏洞测试过程中,须遵守渗透测试原则,严格遵守《网络安全法》的规定
威胁情报等级说明以百度(基础安全漏洞评分标准)为例
严重
- 直接获取系统权限的漏洞(服务器权限)。包括但不仅限于:远程命令执行、任意代码执行、上传获取 Webshell、SQL 注入获取系统权限,重要产品客户端缓冲区溢出(包括可利用的ActiveX 缓冲区溢出)。
- 直接导致核心系统业务拒绝服务的漏洞。包括但不仅限于直接导致移动网关业务API 业务拒绝服务、网站应用拒绝服务等造成严重影响的远程拒绝服务漏洞(例如可造成删除war 包导致站点无法访问)。
- 严重敏感信息泄漏。包括但不仅限于核心DB(用户信息、交易信息)的SQL注入,可获取大量户的身份信息、订单信息、银行卡信息等接口问题引起的敏感信息泄露。4. 核心系统中严重的逻辑设计缺陷和流程缺陷。包括但不仅限于通过业务接口批量发送任意伪造消息、任意账号资金消费、批量修改任意帐号密码漏洞。
- 针对移动端/客户端应用程序漏洞,需满足以下条件:
a) 无需用户点击操作,当消息、链接等载体内容发送到用户设备时自动触发漏洞;
b)能获取对应操作系统权限、能够读取关键文件(非客户端测试文件和默认文件)并向外部网络传递。
高危
- 属于严重级别中所描述的漏洞类型,但是利用条件或权限存在一定限制的漏洞,如需要特定环境配置或依赖辅助漏洞才能完成利用、仅有部分权限的密钥泄漏等(例如aksk泄漏但仅能操作BOS、SQL注入仅能dump数据)。
- 访问任意系统文件的漏洞,包括但不限于任意文件包含、任意文件读取。3. 其它敏感信息泄漏。包括但不限于源代码压缩包泄漏、 UC-Key 泄露、HEARTBLEED漏洞等。同时包括通过 SVN 信息泄漏、 Git 信息泄露导致的重要产品线源码泄露。4. 包含敏感信息的非授权访问。包括但不仅限于绕过认证直接访问管理后台、后台弱密码、可直接获取大量内网敏感信息的 SSRF。
- 包含敏感信息的越权操作及核心系统的越权操作。包括但不仅限于越权修改其他用户重要信息、进行订单操作、重要业务配置修改等较为重要的越权行为。
- 大范围影响用户的其他漏洞。包括但不仅限于可造成自动传播的重要页面的存储型XSS(包括存储型 DOM-XSS)和涉及交易、重要操作的 CSRF,以及可获取 BDUSS 等敏感信息的各种能够将凭据通过外部网络传递的XSS。
- 针对移动端/客户端应用程序漏洞:
a) 需要满足1click(用户仅需一个操作步骤即可触发漏洞),当消息、链接、等载体内容发送到用户设备时,用户交互在一个步骤内进行触发(单次点击跳转或单次确认)。
b) 需满足能获取对应操作系统权限、并能够读取关键文件并向设备外部网络传递。
中危
- 需交互方可影响用户的漏洞。包括但不仅限于一般页面的存储型 XSS。2. 普通越权操作。包括但不仅限于越权查看非核心系统的订单信息、记录等。影响业务运行的Broadcast 消息伪造等。
- 普通信息泄漏。包括但不仅限于客户端明文存储密码、客户端密码明文传输等。4. 普通的逻辑设计缺陷和流程缺陷(例如绕过实名认证)。
- 其他造成中度影响度漏洞,例如:解析漏洞、目录遍历漏洞(包含部分敏感信息)。6. 针对移动端/客户端应用程序漏洞:
a) 需要满足2click(用户需两个操作步骤即可触发漏洞),当消息、链接等载体内容发送到用户设备时,用户交互在两个步骤内进行触发(两次点击跳转或两次确认);
b) 需满足能获取对应操作系统权限、并能够读取关键文件并向设备外部网络传递;c) 能读取百度账号相关的凭证信息。
低微
- 本地拒绝服务漏洞。包括但不仅限于客户端本地拒绝服务(解析文件格式、网络协议产生的崩溃),由 Android 组件权限暴露、普通应用权限引起的问题等。2. 轻微信息泄漏。包括但不仅限于非核心系统的 SVN 信息泄漏、PHPinfo,以及客户端应用本地SQL 注入(仅泄漏数据库名称、字段名、cache 内容)、日志打印、配置信息等。
- 难以利用但存在安全隐患的漏洞。包括但不仅限于难以利用的 SQL 注入点、可引起传播和利用的Self-XSS、需构造部分参数且有一定影响的 CSRF。
- 其他只能造成轻微影响的漏洞,反射型 XSS(包括反射型 DOM-XSS)、普通CSRF、URL跳转漏洞。例如:CRLF 漏洞、 URL 跳转、Crossdomain.xml 配置问题。5. 针对移动端/客户端应用程序漏洞:
a) 需要满足2click(用户需两个操作步骤即可触发漏洞),当消息、链接等载体内容发送到用户设备时,用户交互在两个步骤内进行触发(两次点击跳转或两次确认);b) 仅能读取本地关键文件,不能往外部网络传播;
c) 仅能获取sandbox内shell权限,无法获取设备权限。
无
- 无法利用或利用难度较大的缺陷。包括但不仅限于 Self-XSS、仅针对自身浏览器XSS、无敏感操作的 CSRF、局域网间人劫持、无意义的异常信息泄漏、内网IP 地址/域名泄漏。2. 任何无敏感信息的信息泄露(例如无敏感信息的 json hijacking、js、img 等的公开资源文件、一般信息的 logcat、包含内网 ip/域名的页面)等。
- 无法重现的漏洞、只有“简要概述”的漏洞、不能直接体现漏洞的其他问题。包括但不限于纯属用户猜测、 未经过验证的问题、无实际危害证明的扫描器结果。4. Bos、bdysite、baidubce、aipage 等外界可以注册控制域名下的xss 问题。5. 不能访问百度内网的SSRF行为。
- 针对移动端/客户端应用程序:
a) 读取文件不包含百度主体相关的账号、凭证信息,例如(/etc/hosts,/etc/passwd);
b) 3click步骤(用户需三个及以上操作步骤即可触发漏洞)的交互行为触发的相关风险;
c) 基于无障碍、高级选择器、自动化工具,本地进行触发的交互行为,例如(app广告跳过,自定义刷新等行为)。
