马脚风险等级解释


等级解释:

马脚盒子马脚风险等级分为5-15共10 个级别, 5-7为低危, 8-11为中危, 12-15为高危


计算公式:

风险 = 产生的概率 × 潜伏的损掉

该公式注解,特定威逼形成的风险等于威逼产生的概率乘以潜伏的损掉,这注解了假设进击产生将会形成的后果


马脚风险评价:

应用 DREAD 模型对风险停止评价


DREAD 定义:

D 潜伏损掉:假设缺点被应用,损掉有多大年夜?
R 重现性:反复产生进击的难度有多大年夜?
E 可应用性:提议进击的难度有多大年夜?
A 受影响的用户:用粗略的百分数表示,有若干用户遭到影响?
D 可发明性:缺点轻易发明吗?

等级 高(3) 中(2) 低(1)
潜伏损掉 进击可以阴霾破坏安然体系,获得完全信赖的授权,以管理员的身份运转法式榜样,上传内容 泄漏敏感信息 泄漏价值不高的信息
重现性 进击每次可以重现,并且不须要时间间隔 进击每次可以重现,但只在一个时间间隔和一种特定的竞争条件下才能停止 进击很难重现,即使很懂得安然马脚
可应用性 编程老手在短时间内便可以停止这类进击 闇练编程人员可以停止这类进击,然后反复停止这些步调 这类进击须要异常干练的人员才能停止,并对每次进击都有深刻的懂得
受影响的用户 一切的用户,默许设备,重要客户 一些用户,非默许设备 极少的用户,特点不明白,影响匿名用户
可发明性 地下解释进击的信息。可以在最经常使用功能中找到的缺点,异常明显 产品中很少应用部分的缺点,只要大批的用户能够碰到。断定能否是恶意应用须要花费一些心计心境 缺点不明显,用户弗成能惹起潜伏的损掉

定义完上述成绩后,计算给定威逼的值 (1–3)。成果范围为 5–15。


DREAD 评价示例
马脚 D 潜伏损掉 R 重现性 E 可应用性 A 受影响的用户 D 可发明性 总分 风险等级
SQL注入 3 3 3 3 2 14 14(高危)

平日一个 SQL 注入,潜伏损掉平日为3分最高
重现性,假设不是特别情况,那也应当是3分
可应用性,假设很轻易应用(比如直接应用 Sqlmap 默许设备可以停止相干信息获得)那也应当是3分最高
受影响用户,根据此 Web 应用用户数量及存在马脚的应用比例决定
可发明性,根据发明难度决定

5种评分都可以根据实际情况调剂。

安然测试项目流程

厂商经过过程马脚盒子停止安然测试可分为项目发布,项目停止,项目封闭三个阶段,以下对每个阶段停止解释:

一,项目发布:

厂商可直接经过过程马脚盒子首页的“发布项目”停止测试项目标发布。厂商在发布项目时,须要明白马脚测试范围(指定的域名或产品),有效的马脚类型,不推荐的测试手段(如拒绝办事进击),能否赐与有效马脚的提交者办事嘉奖(办事嘉奖可进步测试人员的积极性及提交马脚的质量),若供给办事嘉奖须要注明不合风险级其他马脚对应的奖金范围。在项目类型处厂商可选择“浅显项目”、“高等项目”。“高等项目”须要满足必定条件的高等测试人员及马脚盒子官方认证的专家才能检查项目概略并且参与项目测试,且私密性和风险保护程度更高;“浅显项目”向一切测试人员开放,实用于大年夜多互联网测试项目。

测试项目信息填写完全后可停止“提交”,我们的任务人员会在一个任务日内经过过程您所供给的接洽方法与您接洽,沟通相干细节,签订保密协定,待确认无误后会为您守旧厂商帐号,您可以应用该帐号登录并管理您所发布的项目及其他事项,此时进入“项目停止”状况。

二,项目停止:

该阶段测试人员可以根据厂商的项目请求提交马脚,厂商可以在后台检查马脚细节,评价马脚风险,修改马脚状况。

三,项目封闭:

在达到项目指定的停止时间,或厂商由于其他缘由主动请求封闭,项目将被封闭,以后测试人员将没法向该项目提交马脚。项目封闭后,测试人员在项目封闭条件交的且未处理的马脚依然有效。

马脚状况解释:
1)待核阅:

厂商须在该阶段对新提交的马脚停止核阅,以确保厂商曾经开端展开马脚处理任务。
该阶段厂商可以以上去由封闭马脚:
* 马脚反复。
* 马脚有效。
* 马脚曾经被完全修复。

2)待确认:

这个阶段厂商和测试人员之间能够会停止须要的沟通来确认相干细节,能够会花费很多天,须要测试人员耐烦等待。马脚确认即代表厂商确认马脚有效,赞成付出测试人员照应等级的马脚嘉奖(赏金)。
该阶段厂商可以以上去由封闭马脚:
* 马脚反复。
* 马脚有效。
* 马脚曾经被完全修复。

3)待修复:

该阶段注解马脚曾经被厂商确认有效,厂商已开端马脚修复任务。

4)已封闭:

该阶段注解马脚曾经被厂商完全处理(修复)并处理。该阶段测试人员可向厂商请求马脚信息地下,厂商可在后台赞成或否决此请求。同时,该阶段测试人员也可向马脚盒子提议马脚申述。

5)已地下:

厂商赞成测试人员提出的马脚地下请求,确认此马脚可以地下。

马脚盒子规矩:
马脚盒子的流程是如何的?

厂商起首发布安然测试项目,测试人员可根据小我志愿参与或受邀参与项目,对目标停止安然测试并提交马脚。厂商在后台可对提交的马脚停止处理,并经过过程平台对有效马脚的提交者(测试人员)停止嘉奖。在马脚处理的过程当中,厂商可以经过过程本平台和测试人员在线交换,沟通马脚或嘉奖细节。若测试人员对厂商的处理成果有贰言,可以请求仲裁,马脚盒子作为平台方会对马脚停止再次评价和确认。关于反复提交的马脚,厂商按照马脚提交时间的先落先行评定,只针对先提交者停止嘉奖。

互联网马脚管理流程

马脚盒子平台关于接收的互联网马脚将按照负义务的表露过程停止表露。我们会积极接洽厂商并协助厂商认领,确认,修复有效的马脚。互联网马脚的搜集和管理将引入保护战略机制,详细可参考《互联网马脚保护战略》。互联网马脚申报不向马脚盒子外部用户地下,但保存对关系平易近生、影响大年夜众的安然成绩停止表露的权力。

甚么是互联网马脚?

互联网马脚,指互联网或传统厂商的Web应用、移动APP、客户端中存在的安然成绩,如某第三方在线付出网站存在SQL注入马脚,某旅游网站存在越权检查他人订单马脚,某航空公司网站存在随便任性用户暗码修改马脚等。不局限于传统意义上的产品马脚,有证据的安然事宜都可作为马脚提交。

为甚么要接收互联网马脚?

马脚盒子是一个专业的互联网安然测试平台。自上线至今已有很多互联网及传统厂商在马脚盒子平台发布了安然测试的项目,上万名白帽子为这些厂商提交了异常多的高威逼性安然成绩,保证了厂贸易务的安然。但也有很多白帽子由于报洞无门,经过过程我们平台提交了其他非发布项目厂商的安然成绩,我们秉着负义务的表露过程也屡次测验测验接洽厂商,但很多情况下都是厂商对马脚漠不关心,置之不睬。 我们认为这是对白帽子负义务的表露及休息成果的不尊敬,同时也为了防止一些高威逼性安然成绩由于得不到妥当处理而被不负义务的泄漏至搜集乃至被黑色家当恶意应用,马脚盒子平台将针对互联网及传统厂商的安然成绩停止接收和嘉奖,经过过程你我的尽力让全部互联网生态加倍安康与安然。

哪些互联网马脚会发放现金嘉奖?

现金嘉奖仅针对高质量、高威逼性的互联网马脚,评定身分包含且不局限于:有名厂商的高危马脚;马脚影响范围广、影响数据量大年夜。

协作同伴







马脚状况解释:
1)待核阅:

马脚盒子须在该阶段对新提交的马脚停止核阅,对马脚初审,防止向厂商转交有效马脚。
该阶段马脚盒子可以以上去由封闭马脚:
* 马脚经确认不真实,并弗成重现
* 马脚过程证明过于简单(无截图等),厂商没法定位与修复马脚
* 马脚真实存在,然则影响不大年夜,实际情况难以形成影响
* 马脚属抄袭,或未经历证的提交
* 没法接洽到厂商(组织太小且没有马脚修复才能或已停止保护等)
* 马脚与平台现有记录反复或互联网上已有细节公布

2)待确认:

这个阶段将与厂商取得接洽,能够会花费很多天,须要测试人员耐烦等待。马脚确认即代表厂商确认马脚有效。关于特别马脚,将转交相干部分处理。
该阶段厂商可以以上去由封闭马脚:
* 马脚反复。
* 马脚有效。
* 马脚曾经被完全修复。

3)已确认:

该阶段注解马脚曾经被厂商确认有效。

4)已封闭:

该阶段注解马脚曾经被厂商完全处理(修复)并处理。

5)已地下:

马脚已逾越保密期时间范围,马脚申报的标题将对外部用户地下,申报内容做保密处理。

有效马脚剖断


有效马脚剖断列表:

1)应用主动化扫描对象发明的一切安然马脚
2)须要物理接触用户设备的马脚
3)通用应用上的指纹/Banner信息泄漏(如PHP,Apache版本泄漏等)
4)地下的文件或目次信息泄漏(如Robots.txt泄漏等)
5)登录/登出处的CSRF马脚
6)非登录状况下或无敏感信息提交的CSRF马脚(如搜刮处,提交接洽方法处等)
7)暗码及账户重置战略相干,重置链接过时或暗码复杂度不高。
8)缺掉安然Headers并且不克不及直接形成安然马脚
9)有效的SPF或缺掉DMARC记录
10)应用或浏览器应用了“主动填写”或“保存暗码”等特点
11)在没有传输敏感信息的页面中未应用SSL/HSTS
12)BEAST、BREACH、Renegotiation进击等SSL马脚。
13)Clickjacking和经过过程Clickjacking应用的马脚
14)Content Spoofing
15)Cookie没有设置secure标记
16)应用了某些存在马脚的第三方库(如JQuery等)且该马脚没有有效的应用办法
17)对企业雇员停止社会工程学产生的安然成绩
18)须要物理接触企业搜集资产或数据中间才能应用的安然成绩
19)固定会话进击和会话过时成绩
20)DDoS,CC等其他会对企业搜集情况形成伤害的马脚
21)曾经被地下在互联网中的马脚

商务咨询:400-156-9866
商务邮箱:mkt@vulbox.com

德律风办事(周一至周五 早9:00–18:00)