内部资料,请扫码登录

漏洞评分标准 V 1.0

# 一.应用系统重要性分级标准

  • 1、核心应用:PIG 官网、支付应用。

  • 2、一般应用:工单系统、源码私服。

# 1.1 测试范围范围定义

目前开放的测试范围有且仅有以下范围:

*.pig4cloud.com

*超出以上范围但又确实属于pigcloud的漏洞,视漏洞严重、影响程度给分或忽略。

# 1.2 测试深度

不影响被测试、评估系统正常运行、不危害系统及平台用户隐私、数据安全的情况下,

以测试和评估系统安全性为目的收集漏洞行为的正式授权,并知会用户相关不规范行为的法律风险。

依据《中华人民共和国网络安全法》,在没有明确授权的情况下,任何漏洞发现行为都将有较大的法律风险。

# 1.3 测试注意事项

  • 1、在测试 SQL 注入漏洞时,对于 UPDATE、DELETE、INSERT 等注入类型,使用手工测试,禁止直接使用工具批量测试。

  • 2、测试过程中,社工企业员工,注意分寸,切勿对个人造成名誉影响。

  • 3、禁止修改厂商的任何数据,包括数据库内容、账户密码、数据库连接密码等。

  • 4、不允许使用扫描器对后台系统进行扫描。

  • 5、对于不在客户测试范围内的系统的测试,属于未授权测试,平台和厂商有权追究其责任。

  • 以上所有漏洞级别可视应用场景再具体定级,如 SQL 注入涉及到的数据为边缘系统或者测试数据则降低漏洞等级等。

# 二.漏洞提交方式

可以通过以下方式提交漏洞:

通过邮件将您所发现的安全问题发送至pigcloud接收邮箱: sw@pigx.top

邮件标题中请注明"【提交漏洞】"。

邮件内容包括“漏洞描述”、“漏洞证明”、“漏洞修复方案”。

# 漏洞提交范例

漏洞请求包含 url(文字,非截图)或操作步骤(比如:设置->个人信息设置->图像上传处存在问题)、

漏洞 payload、漏洞危害证明(根据危害进行评级)

注:您所报告的安全漏洞,我们会在第一时间跟进与反馈。

为了保护用户与企业的安全,希望您在漏洞未修复之前不要公开或传播。