漏洞提交说明

2020-07-02
2020-07-02
4 min read
IT
Penetration Test
Hits

  为规范漏洞提交标准,提升效率,用此文对漏洞提交进行说明。

一、重要提醒

请特别注意漏洞的提交规范,否则会影响漏洞是否忽略、最终定级等判断。

漏洞评审规则

  初审(漏洞复现)→ 复审(漏洞定级,CVSS3.0)→ 漏洞报告质量审核

漏洞接收原则

  1. 鼓励漏洞组合利用(特指低危、中危漏洞进行组合利用后,放大危害,提升至高危);
  2. 鼓励多截图多证明漏洞危害性;
  3. 鼓励手动测试,深入研究漏洞利用;

敏感数据定义

  敏感信息定义如下:行踪轨迹信息、通信内容、征信信息、财产信息、住宿信息、通信记录、健康生理信息、交易信息及其它用户信息泄露(姓名/身份证、银行卡信息、手机号/邮箱、密码、地址)

二、漏洞提交填写说明

漏洞标题

  对于漏洞标题,需要注意区分此次提交漏洞数目

  统一提交格式: 【单一/组合】漏洞_【系统名字】【漏洞名称】

单一漏洞提交

  如弱口令漏洞,可命名为:单一漏洞某系统弱口令漏洞

  如 SQL 注入漏洞,可命名为:单一漏洞_网站前台 SQL 注入漏洞

组合漏洞提交(必须证明漏洞关联性)

  如后台 getshell,可命名为:组合漏洞某系统后台文件上传 getshell

  如后台 SQL 注入,可命名为:组合漏洞某系统弱口令登入后台 SQL 注入

  不接受无关联漏洞堆砌,如发现一律按提交漏洞中最低等级定级!

  组合漏洞不建议:多个高危漏洞组合提交,否则最终会仅按照一个高危评分。

漏洞资产(重要,必填)

  选择系统中本次给出的目标资产。

  注意:下方填写的【漏洞 url 位置】或【漏洞 IP】如果与此处不一致,务必在【复现步骤】中证明两者关联关系,必须保证系统为同一主体(同一单位),否则不接收

  例如:网站的前台和后台关系,可以接收,但是在目标资产上存在跳出页面,跳出页面主体为另一家单位,该漏洞不接收。

  (此处纳入漏洞接收标准,初审有权对未在资产范围的漏洞,给予忽略处理)

  忽略理由:该漏洞未在符合的资产范围内,不予以接收

漏洞 url 位置(选填)

  如果是 web 漏洞(对应 Web 资产),此处需填写具体的漏洞 url 地址,必填

  此处填写的地址必须和漏洞复现中存在的漏洞地址保持一致

  (此处纳入漏洞接收标准,初审有权对前后填写不一致的漏洞,给予忽略处理)

  忽略理由:漏洞 url 填写地址与复现步骤涉及漏洞地址不一致,请确认后重新提交。

漏洞 IP(选填)

  如果是主机漏洞(对应 IP 资产),此处需要填写实际存在漏洞的ip地址,必填

  此处填写的地址必须和漏洞复现中存在的漏洞地址保持一致

  (此处纳入漏洞接收标准,初审有权对前后填写不一致的漏洞,给予忽略处理)

  忽略理由:漏洞 ip 填写地址与复现步骤涉及漏洞地址不一致,请确认后重新提交。

漏洞描述(重要,必填)

  简要描述当前挖掘的漏洞类型,如实说明当前漏洞危害性。(此处纳入报告质量考核,CVSS 漏洞危害评价,初审有权对未如实描述的漏洞危害,给予忽略处理)

  例如:当前 xxx 后台管理系统存在弱口令漏洞,用户名: admin,密码: 123,攻击者利用该漏洞,可以造成5千多条系统内部用户数据泄露。

  忽略理由:报告质量不佳,请补充 xxx 数据包后(根据实际情况填写欠缺点),重新提交。

影响参数(选填)

  主要填写 url 参数,或者填写漏洞参数点

  例如:SQL 注入下,填写注入点

漏洞 POC 请求包(重要,必填)

  给出漏洞利用的数据包,要求为,凡是【复现步骤】里给出的 Burpsuite 或其他抓包工具抓到的数据包,必须填入此处,多个注意分割。(此处影响 CVSS 漏洞利用性评价, 初审有权对 SQL 注入未提交数据包的,直接给予忽略处理,其他情形需要裁判组进行定夺。)

  例如: SQL 注入,填写整个数据包,**对于 sqlmap 自动化利用的可以在参数点打 *,同时绘出 sqlmap 命令。**其他漏洞可根据实际情况,进行填写

  如用一些常用工具(github 能下载到)造成的漏洞利用,无法给出具体数据包,可不填写

  忽略理由:SQL 注入未给出数据包,请重新提交漏洞。

补充说明(选填)

  对于一些不是属于漏洞构成的内容可以填写

  例如:这是对 xxxxx 编号漏洞的补充说明;这是对 xxxxx 编号弱口令漏洞的深入利用

复现步骤(重要,必填)

  对于漏洞利用的详细步骤,此处注意,不要只给出图片,同时需要给出图片上的 url 地址。

  Burpsuite 或其它抓包工具,抓到的数据包需在【漏洞 POC 请求包】中给出。(此处纳入报告质量考核,CVSS 漏洞危害评价)

  注册用户使用的注册信息(用户名及密码)也需注意写入

修复方案(重要,必填)

  对于漏洞的实际修复方案,注意格式规范(此处纳入报告质量考核)

  例如:针对弱口令漏洞,建议系统管理员或系统维护人员对密码口令进行修改,口令强度进行硬性要求(建议长度 8 位,为大小写字母、数字和特殊字符的组合)。如果因系统硬件或软件版本问题造成密码无法修改,可通过 ACL 策略限制登陆服务器的 IP 地址和端口,以减小安全隐患爆发的概率。

#Vulnerability #漏洞

Safé.Café

Previous 漏洞目录
Next Windows File Recovery 使用帮助

Series of Posts

十种 DNS 攻击类型和缓解措施
网络安全缩写
渗透测试行为准则
漏洞提交说明