关于深信服IT系统漏洞收录规则更新说明

公告编号:Sangfor_2020_0074作者:sangfor发布日期:2024/05/06

致各位亲爱的白帽子:

       

    深信服SRC自2024年5月6日起,对深信服IT系统漏洞收录规则进行一系列更新,更新说明细则如下:



新增不收录漏洞说明:


1、不影响安全的逻辑性漏洞:对于不影响系统安全、用户数据安全或业务连续性的逻辑性漏洞,将不予收录。包括但不限于与点赞、收藏、批量回复、并发、隐藏回复查看相关,以及直播间中不涉及金钱交易功能的逻辑性问题。


2、与短信轰炸相关的漏洞:

    a.横向短信轰炸:对于在短时间内向多个不同的手机号码发送大量短信验证码的行为,我们暂不将其作为漏洞收录。 

    b.纵向短信轰炸:针对某个单一手机号码的短信轰炸,例如在一分钟内连续发送超过20条短信验证码且后续仍无限制持续发送的行为,属于潜在的安全漏洞,可以作为SRC漏洞收录。


3、Harbor公开镜像相关漏洞:与Harbor公开镜像相关的漏洞将不予收录。包括但不限于以下域名及其子域名下的资产:https://registry.sangfor.com/、https://catalogs.sangfor.com 


4、无敏感信息的SVN泄露:如果SVN泄露的内容不包含敏感信息(如源代码、数据库凭证、私钥等),则此类漏洞将不予收录。



新增基本操作原则:


1、越权读取时,最多可读取5组真实数据,严禁批量读取。


2、在SQL注入测试过程中,个人只需证明能够获取到任意一张表中的内容即可,严禁拖库、随意修改他人信息;严禁使用自动化工具对UPDATE、DELETE、INSERT等注入类型进行测试。


3、为保证业务不受影响,未经允许严禁用非本人账号在系统内进行安全测试。如确实有需要,请先向SRC报备并说明原因及账号来源。严禁使用非本人帐号进行功能操作/添加权限/创建用户等行为。


4、严禁与漏洞无关的社工,严禁进行内网渗透,严禁进行批量数据读取,如确实有需要请先向SRC报备并获得特别批准。


5、如果将同一URL的不同参数拆分为多个漏洞进行提交,我们将作为同一源漏洞受理。


                                                                                                                                                                                                      2024年5月6日

                                                                                                                                                                                                深信服安全应急响应中心