JSRC 外部威胁处理规则
V8.1
JSRC秉承公开、透明、合理的漏洞处理原则,为帮助白帽师傅们更好地了解评审规则,现V8.1版本针对漏洞处理规则等内容进行了更新。
小编已整理更新细则方便大家更快速了解,文末点击阅读原文可见完整版【JSRC 外部威胁处理规则 V8.1】。
一、漏洞处理规则更新
漏洞二次收录规则
漏洞确认收录后,白帽子可对状态为已修复的漏洞进行复查,若问题仍存在,可再次提交反馈。JSRC 审核人员会对该问题审查确认,并再次计分或处理。
注:修复中状态漏洞再次提交,则不收录。
同一漏洞导致的多个利用点收取规则
同一漏洞源的多个漏洞仅收取 1 份报告。
以下情况也作同一漏洞源处理,即多个漏洞按一个处理。
同一个系统存在未授权访问,前端页面可以访问任意接口引起多处越权问题仅收取一份报告。
同一个系统存在注入漏洞,相同接口不同参数引起多处注入问题仅收取一份报告。
同一个系统存在log4j rce漏洞引起的多处接口rce问题仅收取一份报告。
多个域名解析同一个系统引起多处问题仅收取一份报告。
5)提权漏洞引起的多处问题仅收取一份报告。
同一个系统的同类问题三个月内重复提交,记前三个为有效。
例如:
1)同个系统的不同接口存在sql注入漏洞,记前三个为有效。
2)同个系统的不同接口存在水平越权漏洞,记前三个为有效。
3)同个系统的不同接口存在XSS漏洞,记前三个为有效。
二、公示****数据泄露漏洞评级指南
为帮助大家更清晰地了解数据泄露漏洞相关评级准则,现公示评级指南供大家参考~
JSRC
为师傅们带来更好的挖洞体验,我们将不断更新评审规则,同时JSRC正在筹备升级平台中,体验UP!奖金UP!玩法UP!
请持续关注,敬请期待!