漏洞评分标准 V 1.0
# 一.应用系统重要性分级标准
1、核心应用:PIG 官网、支付应用。
2、一般应用:工单系统、源码私服。
# 1.1 测试范围范围定义
目前开放的测试范围有且仅有以下范围:
*.pig4cloud.com
*超出以上范围但又确实属于pigcloud的漏洞,视漏洞严重、影响程度给分或忽略。
# 1.2 测试深度
不影响被测试、评估系统正常运行、不危害系统及平台用户隐私、数据安全的情况下,
以测试和评估系统安全性为目的收集漏洞行为的正式授权,并知会用户相关不规范行为的法律风险。
依据《中华人民共和国网络安全法》,在没有明确授权的情况下,任何漏洞发现行为都将有较大的法律风险。
# 1.3 测试注意事项
1、在测试 SQL 注入漏洞时,对于 UPDATE、DELETE、INSERT 等注入类型,使用手工测试,禁止直接使用工具批量测试。
2、测试过程中,社工企业员工,注意分寸,切勿对个人造成名誉影响。
3、禁止修改厂商的任何数据,包括数据库内容、账户密码、数据库连接密码等。
4、不允许使用扫描器对后台系统进行扫描。
5、对于不在客户测试范围内的系统的测试,属于未授权测试,平台和厂商有权追究其责任。
以上所有漏洞级别可视应用场景再具体定级,如 SQL 注入涉及到的数据为边缘系统或者测试数据则降低漏洞等级等。
# 二.漏洞提交方式
可以通过以下方式提交漏洞:
通过邮件将您所发现的安全问题发送至pigcloud接收邮箱: sw@pigx.vip
邮件标题中请注明"【提交漏洞】"。
邮件内容包括“漏洞描述”、“漏洞证明”、“漏洞修复方案”。
# 漏洞提交范例
漏洞请求包含 url(文字,非截图)或操作步骤(比如:设置->个人信息设置->图像上传处存在问题)、
漏洞 payload、漏洞危害证明(根据危害进行评级)
注:您所报告的安全漏洞,我们会在第一时间跟进与反馈。
为了保护用户与企业的安全,希望您在漏洞未修复之前不要公开或传播。