漏洞风险等级说明
等级说明:
漏洞盒子漏洞风险等级分为5-15共10 个级别, 5-7为低危, 8-11为中危, 12-15为高危
计算公式:
危险 = 发生的概率 × 潜在的损失
该公式表明,特定威胁造成的危险等于威胁发生的概率乘以潜在的损失,这表明了如果攻击发生将会造成的后果
漏洞风险评价:
使用 DREAD 模型对风险进行评价
DREAD 定义:
D 潜在损失:如果缺陷被利用,损失有多大? R 重现性:重复产生攻击的难度有多大? E 可利用性:发起攻击的难度有多大? A 受影响的用户:用粗略的百分数表示,有多少用户受到影响? D 可发现性:缺陷容易发现吗?
| 等级 | 高(3) | 中(2) | 低(1) |
|---|---|---|---|
| 潜在损失 | 攻击可以暗中破坏安全系统,获取完全信任的授权,以管理员的身份运行程序,上传内容 | 泄露敏感信息 | 泄露价值不高的信息 |
| 重现性 | 攻击每次可以重现,而且不需要时间间隔 | 攻击每次可以重现,但只在一个时间间隔和一种特定的竞争条件下才能进行 | 攻击很难重现,即使很了解安全漏洞 |
| 可利用性 | 编程新手在短时间内就可以进行这类攻击 | 熟练编程人员可以进行这类攻击,然后重复进行这些步骤 | 这类攻击需要非常老练的人员才能进行,并对每次攻击都有深入的了解 |
| 受影响的用户 | 所有的用户,默认配置,主要客户 | 一些用户,非默认配置 | 极少的用户,特点不明确,影响匿名用户 |
| 可发现性 | 公开解释攻击的信息。可以在最常用功能中找到的缺陷,非常明显 | 产品中很少使用部分的缺陷,只有少量的用户可能遇到。判断是否是恶意使用需要花费一些心机 | 错误不明显,用户不可能引起潜在的损失 |
定义完上述问题后,计算给定威胁的值 (1–3)。结果范围为 5–15。
DREAD 评价示例
| 漏洞 | D 潜在损失 | R 重现性 | E 可利用性 | A 受影响的用户 | D 可发现性 | 总分 | 风险等级 |
|---|---|---|---|---|---|---|---|
| SQL注入 | 3 | 3 | 3 | 3 | 2 | 14 | 14(高危) |
通常一个 SQL 注入,潜在损失通常为3分最高 重现性,如果不是特殊情况,那也应该是3分 可利用性,如果很容易利用(比如直接利用 Sqlmap 默认配置可以进行相关信息获取)那也应该是3分最高 受影响用户,根据此 Web 应用用户数量及存在漏洞的应用比例决定 可发现性,根据发现难度决定
5种评分都可以根据实际情况调整。
安全测试项目流程
厂商通过漏洞盒子进行安全测试可分为项目发布,项目进行,项目关闭三个阶段,以下对每个阶段进行说明:
一,项目发布:
厂商可直接通过漏洞盒子首页的“发布项目”进行测试项目的发布。厂商在发布项目时,需要明确漏洞测试范围(指定的域名或产品),有效的漏洞类型,不推荐的测试手段(如拒绝服务攻击),是否给予有效漏洞的提交者服务奖励(服务奖励可提高测试人员的积极性及提交漏洞的质量),若提供服务奖励需要注明不同风险级别的漏洞对应的赏金范围。在项目类型处厂商可选择“普通项目”、“高级项目”。“高级项目”需要满足一定条件的高级测试人员及漏洞盒子官方认证的专家才能查看项目详情并且参与项目测试,且私密性和风险保护程度更高;“普通项目”向所有测试人员开放,适用于大多互联网测试项目。
测试项目信息填写完整后可进行“提交”,我们的工作人员会在一个工作日内通过您所提供的联系方式与您联系,沟通相关细节,签订保密协议,待确认无误后会为您开通厂商帐号,您可以使用该帐号登录并管理您所发布的项目及其他事项,此时进入“项目进行”状态。
二,项目进行:
该阶段测试人员可以根据厂商的项目要求提交漏洞,厂商可以在后台查看漏洞细节,评估漏洞风险,修改漏洞状态。
三,项目关闭:
在到达项目指定的结束时间,或厂商由于其他原因主动申请关闭,项目将被关闭,之后测试人员将无法向该项目提交漏洞。项目关闭后,测试人员在项目关闭前提交的且未处理的漏洞依然有效。
漏洞状态说明:
1)待审阅:
厂商须在该阶段对新提交的漏洞进行审阅,以确保厂商已经开始开展漏洞处理工作。 该阶段厂商可以以下理由关闭漏洞: * 漏洞重复。 * 漏洞无效。 * 漏洞已经被完全修复。
2)待确认:
这个阶段厂商和测试人员之间可能会进行必要的沟通来确认相关细节,可能会花费数日,需要测试人员耐心等待。漏洞确认即代表厂商确认漏洞有效,同意支付测试人员相应等级的漏洞奖励(赏金)。 该阶段厂商可以以下理由关闭漏洞: * 漏洞重复。 * 漏洞无效。 * 漏洞已经被完全修复。
3)待修复:
该阶段表明漏洞已经被厂商确认有效,厂商已开始漏洞修复工作。
4)已关闭:
该阶段表明漏洞已经被厂商完全处理(修复)并解决。该阶段测试人员可向厂商申请漏洞信息公开,厂商可在后台同意或否决此申请。同时,该阶段测试人员也可向漏洞盒子发起漏洞申诉。
漏洞盒子规则:
漏洞盒子的流程是怎样的?
厂商首先发布安全测试项目,测试人员可根据个人意愿参与或受邀参与项目,对目标进行安全测试并提交漏洞。厂商在后台可对提交的漏洞进行处理,并通过平台对有效漏洞的提交者(测试人员)进行奖励。在漏洞处理的过程中,厂商可以通过本平台和测试人员在线交流,沟通漏洞或奖励细节。若测试人员对厂商的处理结果有异议,可以申请仲裁,漏洞盒子作为平台方会对漏洞进行再次评估和确认。对于重复提交的漏洞,厂商按照漏洞提交时间的先后进行评定,只针对先提交者进行奖励。
互联网漏洞管理流程
漏洞盒子平台对于接收的互联网漏洞将按照负责任的披露过程进行披露。我们会积极联系厂商并协助厂商认领,确认,修复有效的漏洞。互联网漏洞的收集和管理将引入保护策略机制,详细可参考《互联网漏洞保护策略》。互联网漏洞报告不向漏洞盒子外部用户公开,但保留对关系民生、影响大众的安全问题进行披露的权利。
什么是互联网漏洞?
互联网漏洞,指互联网或传统厂商的Web应用、移动APP、客户端中存在的安全问题,如某第三方在线支付网站存在SQL注入漏洞,某旅游网站存在越权查看他人订单漏洞,某航空公司网站存在任意用户密码修改漏洞等。不局限于传统意义上的产品漏洞,有证据的安全事件均可作为漏洞提交。
为什么要接收互联网漏洞?
漏洞盒子是一个专业的互联网安全测试平台。自上线至今已有很多互联网及传统厂商在漏洞盒子平台发布了安全测试的项目,上万名白帽子为这些厂商提交了非常多的高威胁性安全问题,保障了厂商业务的安全。但也有很多白帽子由于报洞无门,通过我们平台提交了其他非发布项目厂商的安全问题,我们秉着负责任的披露过程也多次尝试联系厂商,但不少情况下都是厂商对漏洞不闻不问,置之不理。 我们认为这是对白帽子负责任的披露及劳动成果的不尊重,同时也为了避免一些高威胁性安全问题由于得不到妥善处置而被不负责任的泄露至网络甚至被黑色产业恶意利用,漏洞盒子平台将针对互联网及传统厂商的安全问题进行接收和奖励,通过你我的努力让整个互联网生态更加健康与安全。
哪些互联网漏洞会发放现金奖励?
现金奖励仅针对高质量、高威胁性的互联网漏洞,评定因素包括且不局限于:知名厂商的高危漏洞;漏洞影响范围广、影响数据量大。
合作伙伴
漏洞状态说明:
1)待审阅:
漏洞盒子须在该阶段对新提交的漏洞进行审阅,对漏洞初审,避免向厂商转交无效漏洞。 该阶段漏洞盒子可以以下理由关闭漏洞: * 漏洞经确认不真实,并不可重现 * 漏洞过程证明过于简单(无截图等),厂商无法定位与修复漏洞 * 漏洞真实存在,但是影响不大,实际环境难以造成影响 * 漏洞属抄袭,或未经验证的提交 * 无法联系到厂商(组织太小且没有漏洞修复能力或已停止维护等) * 漏洞与平台现有记录重复或互联网上已有细节公布
2)待确认:
这个阶段将与厂商取得联系,可能会花费数日,需要测试人员耐心等待。漏洞确认即代表厂商确认漏洞有效。对于特殊漏洞,将转交相关部门处理。 该阶段厂商可以以下理由关闭漏洞: * 漏洞重复。 * 漏洞无效。 * 漏洞已经被完全修复。
3)已确认:
该阶段表明漏洞已经被厂商确认有效。
4)已关闭:
该阶段表明漏洞已经被厂商完全处理(修复)并解决。
5)已公开:
漏洞已超过保密期时间范围,漏洞报告的标题将对内部用户公开,报告内容做保密处理。
无效漏洞判定
无效漏洞判定列表:
1)使用自动化扫描工具发现的所有安全漏洞 2)需要物理接触用户设备的漏洞 3)通用应用上的指纹/Banner信息泄露(如PHP,Apache版本泄露等) 4)公开的文件或目录信息泄露(如Robots.txt泄露等) 5)登录/登出处的CSRF漏洞 6)非登录状态下或无敏感信息提交的CSRF漏洞(如搜索处,提交联系方式处等) 7)密码及账户重置策略相关,重置链接过期或密码复杂度不高。 8)缺失安全Headers并且不能直接造成安全漏洞 9)无效的SPF或缺失DMARC记录 10)应用或浏览器使用了“自动填写”或“保存密码”等特性 11)在没有传输敏感信息的页面中未使用SSL/HSTS 12)BEAST、BREACH、Renegotiation攻击等SSL漏洞。 13)点击劫持以及通过点击劫持利用的漏洞 14)Content Spoofing 15)Cookie没有设置secure标志 16)使用了某些存在漏洞的第三方库(如JQuery等)且该漏洞没有有效的利用方法 17)对企业雇员进行社会工程学产生的安全问题 18)需要物理接触企业网络资产或数据中心才能利用的安全问题 19)固定会话攻击和会话过期问题 20)DDoS,CC等其他会对企业网络环境造成危害的漏洞 21)已经被公开在互联网中的漏洞 22)静态文件目录遍历 23)不可利用的Self-XSS(无法分享给其他账号访问/未收到后台记录) 24)不可利用的内网IP/域名 25)无敏感信息(如用户昵称、用户个人公开的信息、已脱敏的敏感信息等)的JSONP劫持 26)横向短信轰炸 27)实际业务安全性无影响的 Bug,包括但不限于产品功能缺陷、页面乱码、样式混乱等 28)无特别说明下,DOS类漏洞属于无影响漏洞 29)URL无法批量获取或生成的未授权访问 30)文件上传等接口无限次数调用 31)网站前后端分离,前段框架泄露但无实质数据泄露的漏洞 32)无特别说明下,github、百度网盘等第三方站点信息泄露漏洞属于无效漏洞
