CNVD漏洞审核类型尺度参考标准

2023-12-27 23:20

本文主要是介绍CNVD漏洞审核类型尺度参考标准,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

一、漏洞信息完整性

        1、对于通用软硬件漏洞,如受影响目标和系统暴露在互联网上上,需提供互联网实例(至少三个);对于无法提供互联网实例的代码审计类或内部测试环境(如:工业控制系统、物联网设备),至少要提供本地实例证明;

        2、对于通用软硬件漏洞或事件型漏洞,一般都需要有过程截图证明。

二、漏洞信息原创性

        1、CNVD会根据作者提交的漏洞信息于库里类似的漏洞对比去重(包括WOOYUN平台、补天平台、漏洞盒子及网络上已经发布的情况)。

        2、对于已报给原厂商或取得CVE编号 等,后续再报给CNVD的漏洞:对于一些系统级或应用广泛的能提供验证代码的,且能证明贡献者是作者的按原创收录、归档,积分奖励照常给。如果只是提供描述信息,只作收录,不给积分和证书。

三、漏洞类型审核参考

1、需要后台用户认证权限的漏洞

        1)反射型XSS:未实现权限跨越且危害较低,不收录;

        2)存储型XSS:获取相同权限的不收,不同域的权限可以收录,如:网站普通用户权限能打到管理员权限;

        3)收录评判原则:对于实现权限跨越的漏洞要收录,例如后台用户权限到数据库权限、服务器主机权限。

        4)评分原则:后台登录和前台登录都是属于一次认证,区别是利用难度:高与低。

2、邮件伪造漏洞风险

        邮件伪造只是服务器校验方面的配置风险,不直接对信息系统的机密性、可用性、完整性的范畴造成威胁,无法进行CVSS评级评分,不再收录。

3、URL跳转(重定向)、事件型SSRF、IIS短文件名泄露等风险

        不收录:暂不直接对信息系统的机密性、可用性、完整性产生影响,CNVD不进行收录和处置。(唯一例外:部委级的SSRF可收录)。

4、目录遍历、源码下载、文件泄露等普通信息泄露风险

        1)未涉及重要信息的不收录,包括测试文件泄露、备份文件泄露、示例文件泄露。如Tomcat examples目录下的JSP、Servlet示例文件泄露、日志文件泄露、SQL文件泄露等不涉及重要的信息泄露不收录。

        2)备份文件下载,需要包括网站整体打包数据才进行确认或包括重要数据信息备份文件(SQL文件、服务器配置文件或data文件等)才收录;

        3)一般测试文件、网站普通bak文件、目录为空或仅存少量的SVN泄露驳回;

5、SQL注入漏洞风险

        1)以获得数据库实例名(ACCESS除外)以及手工注入情况下可以获得字段信息(如:数据库版本,当前用户等)为准。

        2)SQL注入至少要证明到数据库实例,对于ACCESS数据库不需要证明到实例; 

        3)同一个网站的多个SQL注入点可合并为一个(额外加分);

        4)CMS类产品注入风险点对于不同页面的不同参数值可算多个,对于同时批量提交的多个,可按全站SQL注入的情况合并为一个漏洞收录。

6、反射型XSS漏洞风险

        1)事件型:暂不直接对信息系统的机密性、可用性、完整性产生影响,CNVD不进行收录和处置

        2)通用型:通用软件,同一个产品多个漏洞,CNVD会合并收录成一个:xxx存在多处xss(额外加分),其他的驳回。

7、存储型XSS漏洞风险

        1)事件型:前台要能够打到管理员或其他用户cookie,或可以弹窗等;后台普通权限打到高级权限的可收录。

        2)通用型:收录。

8、篡改、后门、暗链等威胁事件

        篡改、后门暗链等事件以及这类不属于技术漏洞的,不属于漏洞风险,CNVD不收录,不过根据影响的目标,对于中央部委和重要行业单位,可列入处置流程。

9、HTTP.sys远程代码执行漏洞风险

        不收录,http.sys的驳回理由:整数型溢出只是有可能导致远程代码执行,暂不构成直接威胁。

10、域传送漏洞风险

        只对极为重要的政府和重要行业单位收录和处置,如:DNS域传送对于部委级政府(自建权威服务器)以及重要行业单位集团公司总部(如:电力集团)。

11、暴力破解漏洞风险

        对于HTTP暴力破解的,需提供破解成功登陆的截图,否则驳回;对于未破解成功的不单独收录或处置该类风险。

12、编辑器类漏洞风险

        需要有实际完整性(可删除网站在线实体文件或上传可解析后门)、机密性证明的可收录。对于只是一般编辑器文件功能遗留不构成实际威胁的不收录不处置。

13、扫描器漏洞结果

        对基扫描器的banner判断结果,无可见威胁或验证POC的驳回,不收录。

14、SNMP默认团体风险

        设备宣告,如果是公开161的接口,public的没影响,则不收录。

15、未授权访问类漏洞风险

        注意区分未授权访问风险中,首先要所述资源是否为公开资源,如一些本来就应该公开查询的信息,则不收录。

16、通用型上传漏洞风险

        1)对于黑盒碰撞(如挖到一个站点的漏洞,然后搜索引擎匹配的),需后台管理权限的,不收录。

        2)对于代码审计且有详细的过程的上传,无论是否需要管理权限,均收录。

        3)对于前台用户注册且存在上传的,收录

        4)对于无需登录直接上传的,收录。

17、nginx 空字节(%00)代码执行、nginx文件类型错误解析漏洞风险

        1)该漏洞本身未直接对系统机密性、可用性、完整性造成影响,需要在有文件上传的站点中才能利用成功,不单独收录。

        2)如果没有提供上传的可以被解析的脚本文件,则驳回。

18、信息滥用类风险

        本身并不对系统机密性可用性完整性构成威胁,如:有一些运营商的系统,用手机号直接恶意注册等的,不收录。

19、FTP空口令、弱口令等风险

        如果是匿名的则根据实际影响情况进行判断是否收录,评分参考:机密性:部分

20、业务逻辑漏洞风险

        根据实际影响情况,判断是否收录。主要判断依据是,是否越权、是否有可能造成经济损失(如:刷单)、是否有可能造成业务逻辑混乱。

21、配置类漏洞风险

        配置类风险评定:因部署风险导致的疑似通用产品漏洞按事件型收录,不作为衍生通用软硬件漏洞收录。如:LAMP环境下的同一厂商集成环境大面积tomcat弱口令;TRS的通用政府网站任意文件下载(配置问题)。

22、中间人攻击(证书未校验、密码明文传输等)

        APP类的漏洞可收录(参考CNVD-2016-01908、CNVD-2016-04381),其他的根据实际情况研判。

23、移动APP类漏洞风险

        1)对于已公开的Android接口漏洞(如:webview漏洞)影响到APP本身的,不再收录。

        2)对于调用Android本身但又与移动APP本身实现相关的衍生漏洞,收录。

        3)移动APP逻辑漏洞、私有接口泄露导致信息泄露、SQL注入的,收录。

24、二进制、工控类以及设备类漏洞风险

        1)至少提供可复现的部分拒绝服务(即程序crash)

        2)一般有很多是fuzz方法挖掘的,需要提供样本及POC,最好能提供演示视频。

        3)一些工控漏洞,没有截图,但有发送的畸型数据包的可收录。

        4)传附件为word文档的,需要补充协议类漏洞畸型数据抓包文件、二进制DLL文件。

25、不具备验证条件或未确认漏洞具体危害的情况

        对于此类漏洞,CNVD起到预评审作用,CNVD与厂商名建立了良好的协作渠道,需要等待官方的确认,后续CNVD也鼓励对应单位公司也会对白帽子的工作给予认可。对于厂商未能反馈的,按《CNVD原创漏洞审核和处理流程》由CNVD进行研判归档。

这篇关于CNVD漏洞审核类型尺度参考标准的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/544565

相关文章

零基础学习Redis(10) -- zset类型命令使用

zset是有序集合,内部除了存储元素外,还会存储一个score,存储在zset中的元素会按照score的大小升序排列,不同元素的score可以重复,score相同的元素会按照元素的字典序排列。 1. zset常用命令 1.1 zadd  zadd key [NX | XX] [GT | LT]   [CH] [INCR] score member [score member ...]

SWAP作物生长模型安装教程、数据制备、敏感性分析、气候变化影响、R模型敏感性分析与贝叶斯优化、Fortran源代码分析、气候数据降尺度与变化影响分析

查看原文>>>全流程SWAP农业模型数据制备、敏感性分析及气候变化影响实践技术应用 SWAP模型是由荷兰瓦赫宁根大学开发的先进农作物模型,它综合考虑了土壤-水分-大气以及植被间的相互作用;是一种描述作物生长过程的一种机理性作物生长模型。它不但运用Richard方程,使其能够精确的模拟土壤中水分的运动,而且耦合了WOFOST作物模型使作物的生长描述更为科学。 本文让更多的科研人员和农业工作者

自定义类型:结构体(续)

目录 一. 结构体的内存对齐 1.1 为什么存在内存对齐? 1.2 修改默认对齐数 二. 结构体传参 三. 结构体实现位段 一. 结构体的内存对齐 在前面的文章里我们已经讲过一部分的内存对齐的知识,并举出了两个例子,我们再举出两个例子继续说明: struct S3{double a;int b;char c;};int mian(){printf("%zd\n",s

【编程底层思考】垃圾收集机制,GC算法,垃圾收集器类型概述

Java的垃圾收集(Garbage Collection,GC)机制是Java语言的一大特色,它负责自动管理内存的回收,释放不再使用的对象所占用的内存。以下是对Java垃圾收集机制的详细介绍: 一、垃圾收集机制概述: 对象存活判断:垃圾收集器定期检查堆内存中的对象,判断哪些对象是“垃圾”,即不再被任何引用链直接或间接引用的对象。内存回收:将判断为垃圾的对象占用的内存进行回收,以便重新使用。

flume系列之:查看flume系统日志、查看统计flume日志类型、查看flume日志

遍历指定目录下多个文件查找指定内容 服务器系统日志会记录flume相关日志 cat /var/log/messages |grep -i oom 查找系统日志中关于flume的指定日志 import osdef search_string_in_files(directory, search_string):count = 0

数据治理框架-ISO数据治理标准

引言 "数据治理"并不是一个新的概念,国内外有很多组织专注于数据治理理论和实践的研究。目前国际上,主要的数据治理框架有ISO数据治理标准、GDI数据治理框架、DAMA数据治理管理框架等。 ISO数据治理标准 改标准阐述了数据治理的标准、基本原则和数据治理模型,是一套完整的数据治理方法论。 ISO/IEC 38505标准的数据治理方法论的核心内容如下: 数据治理的目标:促进组织高效、合理地

两个月冲刺软考——访问位与修改位的题型(淘汰哪一页);内聚的类型;关于码制的知识点;地址映射的相关内容

1.访问位与修改位的题型(淘汰哪一页) 访问位:为1时表示在内存期间被访问过,为0时表示未被访问;修改位:为1时表示该页面自从被装入内存后被修改过,为0时表示未修改过。 置换页面时,最先置换访问位和修改位为00的,其次是01(没被访问但被修改过)的,之后是10(被访问了但没被修改过),最后是11。 2.内聚的类型 功能内聚:完成一个单一功能,各个部分协同工作,缺一不可。 顺序内聚:

C 标准库 - `<float.h>`

C 标准库 - <float.h> 概述 <float.h> 是 C 标准库中的一个头文件,它定义了与浮点数类型相关的宏。这些宏提供了关于浮点数的属性信息,如精度、最小和最大值、以及舍入误差等。这个头文件对于需要精确控制浮点数行为的程序非常有用,尤其是在数值计算和科学计算领域。 主要宏 <float.h> 中定义了许多宏,下面列举了一些主要的宏: FLT_RADIX:定义了浮点数的基数。

Mysql BLOB类型介绍

BLOB类型的字段用于存储二进制数据 在MySQL中,BLOB类型,包括:TinyBlob、Blob、MediumBlob、LongBlob,这几个类型之间的唯一区别是在存储的大小不同。 TinyBlob 最大 255 Blob 最大 65K MediumBlob 最大 16M LongBlob 最大 4G

Oracle type (自定义类型的使用)

oracle - type   type定义: oracle中自定义数据类型 oracle中有基本的数据类型,如number,varchar2,date,numeric,float....但有时候我们需要特殊的格式, 如将name定义为(firstname,lastname)的形式,我们想把这个作为一个表的一列看待,这时候就要我们自己定义一个数据类型 格式 :create or repla