xray PoC 审核新标准公布
为什么制定新的规则
在近期的运营过程中,我们发现已有的收录 PoC 奖励制度还不够完善,且在有部分功能缺失。
为了提高师傅们提交 PoC 的奖励,也为了让 xray 可以更精准的扫描到更多的漏洞,能给师傅们提供更好的检测效果,我们对现有的规则进行了更新。
PoC收录标准
无编号漏洞(以下条件满足任意一条):
- 空间搜索引擎最高精准不重复检索量 >= 500(fofa,shodan,zoomeye等的搜索资产数)
- PoC对应的漏洞在内网存在大量资产(需提供证明,可在微信群中私聊审核)
- PoC对应的漏洞为重要性较高的资产(需提供证明,可在微信群中私聊审核)
有编号漏洞(以下条件满足任意一条):
- 空间搜索引擎最高精准不重复检索量 >= 300(fofa,shodan,zoomeye等的搜索资产数)
- PoC对应的漏洞在内网存在大量资产(需提供证明,可在微信群中私聊审核)
- PoC对应的漏洞为重要性较高的资产(需提供证明,可在微信群中私聊审核)
注意事项:
- xray本身能扫出的通用漏洞将不会收录,例如xray的xss插件能够检测出的xss漏洞写成的POC将不会被收录
- 弱口令、默认口令等漏洞将不再收录(特殊情况或危害程度很高的漏洞POC可以私聊审核后提交)
- 需要授权(登陆后)的漏洞将暂时不再收录(特殊情况或危害程度很高的漏洞POC可以私聊审核后提交)
- 超过5年的漏洞POC所能得到的金币将减半(特殊情况或危害程度很高的漏洞POC可以私聊审核后提交)
PoC 奖励制度
- PoC 奖励额度:10金币~500金币
- 奖励标准
一个 PoC 将从三个方面考量其价值:
- 该 PoC 检测的漏洞的危害程度(严重,高危,中危,低危)
- 严重
- 直接获取业务服务器权限的漏洞以及获取重要数据的漏洞,包括但不限于命令执行、上传 webshell、代码执行、SQL 注入获得大量重要数据
- 严重影响系统业务和数据安全的逻辑漏洞,包括但不限于任意帐号密码重置或更改漏洞、任意账号资金消费、系统可轻易被薅羊毛、严重越权访问漏洞、未授权访问后台管理系统、严重级别的敏感信息泄露
- 直接导致核心业务拒绝服务的漏洞,包括通过该远程拒绝服务漏洞直接导致线上核心应用、系统、服务器无法继续提供服务的漏洞
- 高危
- 敏感信息泄漏漏洞,包括但不限于源代码压缩包泄漏、SQL 注入、越权或者直接获取大量用户、员工信息
- 账号暴力破解漏洞
- 可远程获取客户端和服务端权限的漏洞。包括但不限于 SSRF、远程缓冲区溢出、存储型 XSS、以及可获取 cookie 等敏感信息的 XSS
- 中危
- 普通信息泄露,包括但不限于未涉及敏感数据的 SQL 注入、影响数据量有限或者敏感程度有限的越权、源代码或系统日志等信息泄露
- 需受害者交互或其他前置条件才能获取用户身份信息的漏洞。包括但不限于包含用户、网站敏感数据的 JSON Hijacking、重要操作(如支付类操作、发布信息或修改个人账号敏感信息类操作)的 CSRF、反射型 XSS
- 普通的逻辑缺陷漏洞和越权漏洞
- 低危
- 轻微信息泄露,包括但不限于路径、SVN 信息泄露、PHPinfo、异常和含有少量敏感字段的调试信息、日志打印及配置等泄露
- 应用场景有限的漏洞与难以利用的安全漏洞。包括但不仅限于有限制的反射型或 self 型 XSS、短信/邮件轰炸、URL 跳转、敏感操作的 CSRF
评分
发布日期超过五年的漏洞POC评分标准:
注: CT Stack 保留最终解释权