产品网络安全漏洞报告-范围 & 交战规则

交战规则

• 没有拒绝服务测试
• 没有物理或社会工程
• 不测试第三方服务
• 不得将任何漏洞或与客户端相关的内容上传到第三方实用程序(例如.g.、GitHub、Drobox、YouTube)
• 所有攻击有效载荷数据必须使用专业语言.
• 如果能进入一个系统, 账户, 用户, 或者用户数据, 在确认地点停车并报告. 不要深入研究，以确定还有多少是可访问的.
• 在记录漏洞时, 如果漏洞是公开的, 请注意不要泄露客户的身份.

低影响漏洞-超出范围

以下漏洞被认为是低影响的，被认为超出了范围:

• 谷歌地图API密钥
• 使用暴力攻击的帐户/电子邮件枚举.
• 不需要使用暴力的用户帐户/电子邮件枚举将被视为在范围内.
• 任何与会话管理相关的低影响问题(例如.e.，并发会话，会话过期，密码重置/更改注销等.)
• 在没有证明文件已被接收的情况下跳过上传文件的限制.
• “点击劫持”/ UI纠正
• 客户端应用程序/浏览器自动完成或保存密码/凭据
• 描述性或冗长的错误页面，没有证明可以利用或获取敏感信息.
• 目录结构枚举(除非事实揭示了非常有用的信息)
• SPF/DMARC/DKIM记录不完整或缺失
• 与密码/凭证强度相关的问题, 长度, 停工, 或者缺乏暴力破解/限速保护.
• 由于这些问题导致的帐户折衷(特别是管理员)可能会被考虑在范围内.
• 缺乏SSL或混合内容
• 会话cookie泄漏, 用户凭证, 或其他敏感数据将逐案审查.
• 如果泄露敏感数据需要MiTM定位来利用, 它将被认为超出了范围.
• 登录/注销/未经身份验证的/低强度CSRF
• 如果CSRF漏洞的影响较大，则可以接受. 低影响CSRF的例子包括:从购物车中添加/删除, 添加/删除愿望列表/收藏夹, 非严重偏好选项, 等.
• 信息披露(包括版本披露)
• 缺少Cookie标志
• 缺少/启用HTTP头/方法，不会直接导致安全漏洞.
• 反射文件下载攻击(RFD)
• 自我消耗(我.e.，密码重置链接或cookie重用)
• 不包含完整功能的概念验证的SSL/TLS最佳实践.
• URL /开放的重定向
• 使用已知易受攻击的库会导致低影响的漏洞(例如.e.过时的jQuery版本导致了低影响的XSS)
• 与客户机的安全状态没有直接关系的有效错误或最佳实践问题.
• 影响过时浏览器、插件或平台用户的漏洞.
• 允许在不允许超链接的情况下注入任意文本的漏洞, HTML, 或JavaScript代码注入.
• 需要用户/受害者执行极其不可能的操作的漏洞(例如.e.Self-XSS)
• 将考虑用于持久/存储XSS的自XSS. 请查看Self-XSS文章以获取更多信息.
• 任何需要受害者按下不太可能的组合键的XSS类型都不在范围内.e.， alt+shift+x为有效载荷执行)

由于影响较小，被认为超出范围的其他特定漏洞类型:

• IIS波浪文件和目录披露
• SSH用户名枚举
• WordPress用户名枚举
• SSL弱密码/狮子狗/心脏出血
• CSV注入
• PHP的信息
• 服务器状态，如果它不泄露敏感信息.
• 窥探信息披露