玄梦漏洞报告平台

汇聚多方力量,提升信息系统安全性

提交漏洞报告
目录导航

关于 玄梦漏洞报告平台

玄梦漏洞报告平台是一个面向玄梦工作室的漏洞报告平台。平台旨在汇聚多方力量,帮助提升玄梦工作室的信息系统和网站安全性,为推进信息化建设保驾护航。

漏洞报告说明

一旦完成上报,我们认为您已经仔细阅读并同意如下的规则,如果您并不认同如下条款,请不要提交任何漏洞。

  • 本平台是一个聚焦玄梦工作室漏洞报告平台,请勿提交不属于教育行业的安全漏洞。
  • 白帽子在挖掘、提交相关漏洞的过程中,必须遵守中华人民共和国相关法律法规以及本平台相关规定。
  • 漏洞详情只有相关单位管理员和漏洞提交者可见。
  • 白帽子提交的漏洞由本平台审核人员进行确认评分。

漏洞挖掘过程中不允许的行为

白帽子在挖掘、提交相关漏洞的过程中,应严格遵守中华人民共和国相关法律法规:

第八条 按照对信息系统机密性、可用性、完整性等三方面要素的影响评估,漏洞风险发现与技术验证应遵循无害化原则:
信息系统机密性无害化验证指导场景:

可实现非授权访问或用户权限越权,在完成非授权逻辑、越权逻辑验证时,不应再获取和留存用户信息和信息系统文件信息;

可执行数据库查询条件,在获得数据库实例、库表名称等信息证明时,不应再查询涉及个人信息、业务信息的详细数据;

可获得系统主机、设备高权限,在获得当前用户系统环境信息证明时,不应再获取其他用户数据和业务数据信息;

禁止利用当前主机或设备作为跳板,对目标网络内部区域进行扫描测试。

信息系统可用性无害化验证指导场景:

应充分估计目标网络、系统的安全冗余,不进行有可能导致目标网络、主机、设备瘫痪的大流量、大规模扫描;

禁止执行可导致本地、远程拒绝服务危害的技术验证用例;

禁止执行有可能导致整体业务逻辑扰动、有可能产生用户经济财产损失的技术验证用例。

信息系统完整性无害化验证指导场景:

可获得信息系统后台功能操作权限,在获得当前用户角色属性证明时,不应再利用系统功能实施编辑、增删、篡改等操作;

可获得系统主机、设备、数据库高权限,在获得当前系统环境信息证明时,不应再执行文件、程序、数据的编辑、增删、篡改等操作;

可在信息系统上传可解析、可执行文件,在获得解析和执行权限逻辑证明时,不应驻留带有控制性目的程序、代码。

白帽子在挖掘、提交相关漏洞的过程中,除遵守中华人民共和国相关法律法规,还需注意遵守以下行为规范:

  • 测试完成之后,应该及时删除测试过程中遗留的相关文件和权限(如Webshell等),请勿在目标系统中留任何后门或可能被其他人猜到的程序、代码。
  • 不修改、不增加、不删除被测试网站的相关数据。在测试漏洞需要修改一定测试数据的情况下,请联系本平台工作人员,获取最终授权后才能进行测试。
  • 测试过程中仅可证明漏洞存在,进行无害化验证,不允许利用漏洞(如SQL注入)拖取信息。
  • 测试过程中利用漏洞获取到相关系统的权限,如若要继续深入,请先联系本平台工作人员,请勿利用该权限进行扫描、设置跳板代理。
  • 请勿对测试目标进行大规模并发扫描,并确保漏洞挖掘行为不会影响目标系统正常运行与访问。
  • 涉及金钱相关漏洞的测试(如支付相关),请在漏洞报告中说明测试结果与测试账户,禁止借机利用相关漏洞牟利。
  • 在漏洞挖掘过程中,不允许将漏洞内容泄露给无关人员。
  • 请尽量测试准确后再提交漏洞,严禁提交虚假漏洞。

漏洞评分标准

漏洞分为严重(Critical)、高(High)、中(Medium)、低(Low)四个级别。不同等级的漏洞分数范围如下:

等级 描述
严重 直接获取重要服务器权限、导致严重信息泄露的漏洞
高危 直接获取普通系统权限、严重逻辑缺陷、权限绕过等
中危 条件限制下的权限获取、任意文件操作、水平权限绕过
低危 获取非核心数据、严苛条件下的漏洞、需要用户交互的漏洞

  1. 直接获取重要服务器(客户端)权限的漏洞。包括但不限于远程任意命令执行、上传 webshell、可利用远程缓冲区溢出、可利用的 ActiveX 堆栈溢出、可利用浏览器 use after free 漏洞、可利用远程内核代码执行漏洞以及其它因逻辑问题导致的可利用的远程代码执行漏洞;
  2. 直接导致严重的信息泄漏漏洞。包括但不限于重要系统中能获取大量信息的SQL注入漏洞;
  3. 能直接获取目标单位核心机密的漏洞;

  1. 直接获取普通系统权限的漏洞。包括但不限于远程命令执行、代码执行、上传webshell、缓冲区溢出等;
  2. 严重的逻辑设计缺陷和流程缺陷。包括但不限于任意账号密码修改、重要业务配置修改、泄露;
  3. 可直接批量盗取用户身份权限的漏洞。包括但不限于普通系统的SQL注入、用户订单遍历;
  4. 严重的权限绕过类漏洞。包括但不限于绕过认证直接访问管理后台、cookie欺骗。
  5. 运维相关的未授权访问漏洞。包括但不限于后台管理员弱口令、服务未授权访问。

  1. 需要在一定条件限制下,能获取服务器权限、网站权限与核心数据库数据的操作。包括但不限于交互性代码执行、一定条件下的注入、特定系统版本下的getshell等;
  2. 任意文件操作漏洞。包括但不限于任意文件写、删除、下载,敏感文件读取等操作;
  3. 水平权限绕过。包括但不限于绕过限制修改用户资料、执行用户操作。

  1. 能够获取一些数据,但不属于核心数据的操作;
  2. 在条件严苛的环境下能够获取核心数据或者控制核心业务的操作;
  3. 需要用户交互才可以触发的漏洞。包括但不限于XSS漏洞、CSRF漏洞、点击劫持;

存在以下情况我们将酌情将漏洞等级降低:

  • 漏洞真实存在,但因为各种问题(如WAF),白帽子无法说明利用方法的
  • 漏洞提交前,相关单位已经知晓,但暂未修复的已知漏洞
  • 漏洞触发需要一定条件的,具有一定的偶然性
  • 同一单位多处相似漏洞
  • 恶意夸大漏洞危害的
  • 非同一单位但利用方式相似的
  • 已公开利用方式的通用型安全漏洞

如下漏洞将被忽略:

  • 非(不确定)教育相关行业单位
  • 虚假漏洞
  • 本平台上已有其他白帽子提交过的漏洞
  • 互联网上已经被公开的漏洞
  • 提交到本平台后又提交到其他平台的漏洞
  • 没有链接、截图、利用方法等漏洞详情不详细的漏洞
  • 需要登录管理员后台才能触发的漏洞
  • 需要中间人攻击的漏洞
  • Self-XSS
  • 无敏感操作的CSRF漏洞
  • 钓鱼漏洞
  • 无敏感信息的 JSON Hijacking
  • 扫描器取得结果,但白帽子无法提供利用方法的漏洞
  • 无意义的源码泄露、内网IP、域名泄露
  • 拒绝服务漏洞
备注:此标准仅供参考,具体评级评分以平台漏洞审核人员根据实际影响判定为准。
提交漏洞报告