长亭百川云 - 文章详情

JSRC 外部威胁处理规则V8.1

京东安全应急响应中心

25

2024-07-15

JSRC 外部威胁处理规则

V8.1

JSRC秉承公开、透明、合理的漏洞处理原则,为帮助白帽师傅们更好地了解评审规则,现V8.1版本针对漏洞处理规则等内容进行了更新。

小编已整理更新细则方便大家更快速了解,文末点击阅读原文可见完整版【JSRC 外部威胁处理规则 V8.1】。

一、漏洞处理规则更新

漏洞二次收录规则

漏洞确认收录后,白帽子可对状态为已修复的漏洞进行复查,若问题仍存在,可再次提交反馈。JSRC 审核人员会对该问题审查确认,并再次计分或处理。

注:修复中状态漏洞再次提交,则不收录

同一漏洞导致的多个利用点收取规则

同一漏洞源的多个漏洞仅收取 1 份报告。

以下情况也作同一漏洞源处理,即多个漏洞按一个处理。 

  1. 同一个系统存在未授权访问,前端页面可以访问任意接口引起多处越权问题仅收取一份报告。 

  2. 同一个系统存在注入漏洞,相同接口不同参数引起多处注入问题仅收取一份报告。

  3. 同一个系统存在log4j rce漏洞引起的多处接口rce问题仅收取一份报告。

  4. 多个域名解析同一个系统引起多处问题仅收取一份报告。
    5)提权漏洞引起的多处问题仅收取一份报告。

同一个系统的同类问题三个月内重复提交,记前三个为有效。

例如:

1)同个系统的不同接口存在sql注入漏洞,记前三个为有效。

2)同个系统的不同接口存在水平越权漏洞,记前三个为有效。

3)同个系统的不同接口存在XSS漏洞,记前三个为有效。

二、公示****数据泄露漏洞评级指南

为帮助大家更清晰地了解数据泄露漏洞相关评级准则,现公示评级指南供大家参考~

JSRC

为师傅们带来更好的挖洞体验,我们将不断更新评审规则,同时JSRC正在筹备升级平台中,体验UP!奖金UP!玩法UP!

请持续关注,敬请期待!

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2