https://www.vulbox.com/faq/?id=196
1.弱口令问题:同一套系统多个用户弱口令问题只确认第一个,后续提交算重复漏洞;同一个用户弱口令可登陆不同系统,算同一漏洞,合并处理。重要系统/敏感业务:管理权限用户弱口令,高危。普通权限用户弱口令:中低危;非重要系统/普通业务:管理权限用户弱口令:中危。普通权限用户弱口令低危。
2.对于 SQL 注入漏洞,须注出其中一条数据证明危害。严禁拖库表。单纯报错无危害证明将会被忽略。
3.无特别声明情况下,前后关联漏洞合并处理,如先提交弱口令进入后台/内网漏洞,后提交进入后台/内网的 SQL 注入、越权漏洞。后提交的 SQL、越权漏洞均合并处理,审核员会与厂商沟通是否允许继续深入测试该系统。如厂商许可,可正常测试,发现问题可单独提交。
4.同一个漏洞源产生的多个漏洞计漏洞数量为一。例如同一个接口引起的多个安全漏洞、同一个发布系统引起的多个页面的安全漏洞、框架导致的整站的安全漏洞、泛域名解析产生的多个安全漏洞、厂商未做安全配置导致的多个站点同类问题(如 springboot 未授权问题);因为厂商未做身份校验导致的多个接口越权或者是未做 token 校验导致的多个 CSRF 漏洞;同一文件的不同参数、同一参数出现在不同文件、同一文件在不同目录等;相同功能处的添加、编辑、删除等操作都出现同类型漏洞(例如平行权限)时;网站内由相同上传组件导致不同功能处都存在的任意文件上传类漏洞;由短信验证码功能失效导致的全站多个安全问题;服务端报错信息未处理导致的多个页面敏感信息报错等,按同一漏洞合并处理。
5.对于边缘/废弃业务系统,根据实际情况酌情降级。
6.严重敏感身份信息定义:
至少包含 3 个敏感字段:姓名/身份证、银行卡信息、手机号/邮箱、密码、地址
对于不满足上述条件的信息,将视信息的敏感程度降级处理。
7.对于已获取系统权限(如 webshell),禁止下载源代码审计。请事先联系审核员,审核员将会与厂商沟通相关事宜,如果厂商同意审计,再进行后续操作,发现漏洞可单独提交。否则,其行为将视为违规操作,一经发现行冻结账户。厂商视情况严重程度,保留追究法律责任的权利。
8.前台撞库、爆破类漏洞,需有成功案例证明;后台爆破,仅收取成功登陆的案例,仅能爆破但没有进入后台的漏洞将忽略。
9.利用难度较高的漏洞会根据 CVSS 标准打分后降级处理。如 6 位数验证码爆破成功重置普通用户密码场景,CVSS 打分为 5.6 分,故一般评为中危。CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L( https://www.vulbox.com/cvss#CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L )
10.厂商保护机制:如果同一个系统中短时间发现了大量的同类型高危漏洞(如 SQL 注入、越权等),管理员判定该系统几乎没有做任何防护,将合并或降级处理,后续提交将忽略。如厂商修复后重新开放该漏洞类型收取,平台将另行通知。
若有收获,就点个赞吧
0 人点赞
