安全問題反饋

漏洞評分標準 V 1.0

一.應用系統重要性分級標準 

1、核心應用:企查查官網、企查查APP

2、一般應用:接口查詢、部分開發平臺等

3、邊緣應用:查詢服務、企業新聞等 

4、合作公司:……


1.1 測試范圍范圍定義

目前開放的測試范圍有且僅有以下范圍:

*.qichacha.com(不包含tongji.qichacha.com

*.qichacha.net (包含手機APP)

*超出以上范圍但又確實屬于朗動(企查查)的漏洞,視漏洞嚴重、影響程度給分或忽略。


1.2 測試深度

 不影響被測試、評估系統正常運行、不危害系統及平臺用戶隱私、數據安全的情況下,以測試和評估系統安全性為目的收集漏洞行為的正式授權,并知會用戶相關不規范行為的法律風險。依據《中華人民共和國網絡安全法》,在沒有明確授權的情況下,任何漏洞發現行為都將有較大的法律風險。

特別的:目前暫時不對反射型XSS進行收集,特殊影響的反射型XSS除外。


1.3 測試注意事項

1、在測試SQL注入漏洞時,對于UPDATE、DELETE、INSERT 等注入類型,使用手工測試,禁止直接使用工具測試。

2、測試過程中,社工企業員工,注意分寸,切勿對個人造成名譽影響。

3、禁止修改廠商的任何數據,包括數據庫內容、賬戶密碼、數據庫連接密碼等。

4、不允許使用掃描器對后臺系統進行掃描。

5、對于不在客戶測試范圍內的系統的測試,屬于未授權測試,平臺和廠商有權追究其責任

以上所有漏洞級別可視應用場景再具體定級,如SQL注入涉及到的數據為邊緣系統或者測試數據則降低漏洞等級等。


二.漏洞提交方式

可以通過以下方式提交漏洞:

通過郵件將您所發現的安全問題發送至企查查安全漏洞接收專用郵箱: security@greatld.com

郵件標題中請注明"【提交漏洞】"。

郵件內容包括“漏洞描述”、“漏洞證明”、“漏洞修復方案”。

漏洞提交范例

漏洞請求包含url(文字,非截圖)或操作步驟(比如:設置->個人信息設置->圖像上傳處存在問題)、

漏洞payload、漏洞危害證明(根據危害進行評級)

APP請備注測試的版本信息

注:您所報告的安全漏洞,我們會在第一時間跟進與反饋。

       為了保護用戶與企業的安全,希望您在漏洞未修復之前不要公開或傳播。

 

三.獎勵措施說明

1、獎勵以充值企查查會員、會員積分、會員券使用(現金、購物卡目前暫不支持),積分由最終接受的漏洞的評分相應系數而得,相應積分系數參考“漏洞分級級標準”

2、多個漏洞產生的會員積分,會員券可累加,除非特別聲明,未使用的會員券不會過期。

3、企查查會員在7個工作日內通過和提交者溝通的形式發送。

4、 額外獎勵用于某些漏洞的特殊價值,用于特殊貢獻獎勵進行發放。

 

四.漏洞嚴重性分級標準 

4.1【 高危 】本等級包括:

高危漏洞是指,發生在核心系統業務系統(核心控制系統、域控、業務分發系統、堡壘機等可管理大量系統的管控系統),可造成大面積影響的,獲取大量(依據實際情況酌情限定)業務系統控制權限,獲取核心系統管理人員權限并且可控制核心系統。

包括但不限于:

1、直接獲取系統權限的漏洞。包括但不僅限于命令執行、代碼執行、獲取Webshell、SQL注入獲取系統權限、緩沖區溢出。
2、直接導致業務拒絕服務的漏洞。包括但不僅限于利用漏洞或業務邏輯漏洞直接導致系統業務不可用。3、嚴重的敏感信息泄漏。包括但不僅限于:
1)重要DB(資金、用戶身份、訂單) 的 SQL 注入引起的敏感信息泄露
2)可獲取大量核心用戶的身份信息、訂單信息、銀行卡信息等接口問題引起的敏感信息泄露
3)遍歷導致大量敏感信息泄露
4)源代碼壓縮包泄漏
5)硬編碼密碼等問題引起的敏感信息泄露
6)繞過認證直接訪問管理后臺、管理后臺弱密碼、獲取大量內網敏感信息。
4、嚴重的邏輯設計缺陷和流程缺陷。包括但不僅限于通過業務接口批量發送任意偽造消息、任意賬號資金消費、批量修改任意帳號密碼漏洞。5、嚴重的越權敏感操作。包括但不僅限于賬號越權修改重要信息、進行訂單普通操作、重要業務配置修改等較為重要的越權行為。6、直接獲取移動客戶端權限。包括但不僅限于遠程命令執行、任意代碼執行。7、大范圍影響用戶信息或資金方面的其他漏洞。


4.2【 中危 】本等級包括:

1、需交互方可影響用戶的漏洞。包括但不僅限于一般頁面的存儲型XSS,存儲型XSS請證明可獲取核心cookie等敏感信息以及payload的注入點。
2、普通遍歷越權操作。包括但不僅限于不正確的直接對象引用、越權查看訂單信息、越權查看用戶身份信息等。3、普通信息泄漏。包括但不僅限于客戶端明文存儲密碼、系統路徑遍歷、GitHub或者百度網盤等外部托管平臺上面非生產項目或者其他信息泄露,可能會根據泄露信息的影響做降級處理。4、不涉及資金、訂單和用戶敏感信息等普通的邏輯設計缺陷和流程缺陷。567

 

4.3【 低危 】本等級包括:

1、輕微信息泄漏。包括但不僅限于phpinfo信息泄露、路徑信息泄漏、SVN信息泄漏、異常信息泄露,以及客戶端應用本地SQL注入(僅泄漏數據庫名稱、字段名、cache內容)、日志打印、配置信息、異常信息等。
2、難以利用但存在安全隱患的漏洞。包括但不僅限于難以利用的SQL注入點,客戶端密碼明文傳輸。3、可導致資源濫用或造成對用戶騷擾的漏洞。包括但不僅限于郵箱或短信轟炸。4、任意URL跳轉。5、邊緣業務后臺弱口令或者是權限管控問題導致的用戶敏感信息泄露,可能會根據泄露信息的影響做升級處理。


4.4 暫不收取的漏洞類型

1、接口窮舉爆破已注冊用戶名類漏洞
2、郵件炸彈
3、非敏感操作的CSRF問題
4、反射型XSS(self-xss / post型反射XSS)。
5、普通帳戶弱口令。
6、安卓APP android:allowBackup=”true” 問題,本地拒絕服務問題等
7、修改圖片size造成的請求緩慢等問題
8、nginx,tomcat等版本泄露的問題
9、一些功能BUG,無法造成安全風險的問題
10、不涉及安全問題的 Bug。包括但不僅限于產品功能缺陷、網頁亂碼、樣式混亂、靜態文件目錄遍歷、應用兼容性等問題。
11、無法利用的漏洞。無敏感操作的 CSRF(收藏、取消收藏、一般的資料修改等)、無意義的異常信息泄漏、內網 IP 地址/域名泄漏。
12、不能直接反映漏洞存在的其他問題。包括但不僅限于純屬用戶猜測的問題。
13、其它危害過低的漏洞


五.數據敏感性分級標準 

5.1 敏感級別高 

經常出現敏感信息舉例:
1、姓名、性別、出生日期等賬號認證信息
2、身份證號、護照號等其他證件信息
3、用于認證的session、cookie信息
4、銀行卡賬號等持卡信息
5、生產相關開發項目信息,比如開發設計文檔、核心代碼等


5.2 敏感級別中 

經常出現敏感信息舉例:
1、優惠券信息
2、預留郵箱
3、聯系手機
4、常用地址
5、IDFA/IMEI
6、預訂/投訴信息
7、綁定的關聯賬號(微信、QQ、微博等)


5.3 敏感級別低 

經常出現敏感信息舉例:
1、常用發票抬頭等信息
2、訂單信息:客戶訪問信息、支付金額、歷史訂單記錄
3、內部使用制度信息
4、后臺的商品信息,比如門店信息、庫存信息、房型信息等
5、投訴相關信息



暫無數據
我的關注
企業對比
還可以添加5家企業 清空
找關系
還可以添加5家企業 清空