 面包牛奶的挖洞记录（一）漏洞扫描方面的法律须知和等级保护2.0简介

你好哇！我是你们的面包牛奶啊，在大二学习完信息安全基础后，我就忍不住想证明自己的实战能力，于是我开始了我痛苦并着快乐的漏洞前期准备工作。结果，等我全部弄清楚后的感觉却是这个样子。

文章目录

新手挖洞须知
一、找到该企业的应急响应中心（SRC）
二、上网查阅关于安全方面的法律书籍（这个的可能很麻烦）
- 1.关于法律种类
- 2.等保2.0的简介（建议网络安全方向的都可以了解）
总结

新手挖洞须知

由于当时我只知道政府gov.cn的，教育的国家级网站不能碰，刚开始我就想一个小白一样去问了问度娘，结果度娘直接送了我一堆“广告”！（rnm!浪费我流量）。随后，机智如我，打开CSDN和知乎，结果说好的全面呢？唉，没有办法，只好请教群里的大佬。

一、找到该企业的应急响应中心（SRC）

这里我用B站来举例，我相信你们一定会在最新公告中发现== BILISRC 漏洞处理和评分标准V1.4版本发布==这样一份公告，而我们就可以找到我们想要的找漏洞的规则和操作要求。偷偷告诉你一个密秘公告中可能会含有这个公司其它的网站或者子网站哟。
为了方便大家直接获取这方面的要求，我综合和了一些大厂的要求，如下：

评分标准通用原则
1.对于非直接发布的产品和业务或事第三方应用威胁情报均不计分
2.通用型漏洞（如 discuz 等的漏洞以及由同一个漏洞源产生的多个漏洞）一般计漏洞数量为一个。例如 discuz 的 XSS 漏洞、同一个 JS 引起的多个 XSS 漏洞、同一个发布系统引起的多个页面的 XSS 漏洞、框架导致的整站 XSS/CSRF 漏洞、泛域名解析产生的多个 XSS 漏洞、同一域名下同一组件产生的多个 flash xss 漏洞等
3.对于第三方库（比如 libpng、zlib、libjpeg 等等）导致的客户端漏洞（包括 PC 和移动端），且可以通过升级或者更换第三方库可完成修复的漏洞，仅给首个漏洞报告者计分。同时，从获取首个漏洞的反馈时间到第三方首个修复版本发布时间的日期内，对于同一类漏洞均按一个漏洞计分，危害等级取危害最大的一个漏洞来评定
4.同一漏洞导致的多个利用点按照级别最高的奖励执行；同一系统只收取前三个接口产生的同类型漏洞，此条款收取漏洞时限为3个月。（如：同个 JS 引起的多个 XSS 漏洞、同接口多参数xss漏洞/sql注入漏洞统一处理，同一个发布系统引起的多个页面的 XSS 漏洞、同一框架导致的整站问题等）
5.由于客户端漏洞审核本身比较复杂并且涉及到其它的开发部门，审核时间可能较 WEB漏洞长，有时可能由于报告者提供的漏洞细节不够详尽，导致 BILISRC 无法按原定时间内给出结论，请理解。因此请各位白帽子在反馈漏洞时提供 poc/exploit，并给出相应的漏洞分析细节，以加快管理员处理速度，对于 poc 或 exploit 未提供或者没有详细分析的漏洞提交将可能直接影响最终评分
6.同一条威胁情报，第一个报告者得分，其他报告者不得分
7.提交网上已公开的威胁情报不计分8.拒绝无实际危害证明的扫描器结果，具体参见
9.SRC 在跟进您反馈的问题时可能需要您的帮助，为了复现漏洞以及跟进后续问题，可能需要您的协助。对于提交高质量报告并在报告、反馈和积极响应跟进等过程中提供有效帮助的漏洞提交者，SRC 也会酌情给予相应的奖励。我们会根据实际情况为高质量漏洞报告的提交者发放漏洞报告质量奖励。
10.拒绝无实际危害证明的扫描器结果。所有提交的漏洞报告中均须附上复现和利用成功的证明过程，即须提供完整的利用链（POC 或 EXP 等）过程。
11.部分漏洞审核中本身比较复杂并且涉及到其它的开发部门，审核时间可能较长，有时可能由于您提供的漏洞细节不够详尽，导致漏洞审核无法按原定时（三个工作日）内给出结论，请各位白帽子理解。因此，请您在反馈漏洞时提供详尽的 POC 或 EXP 等漏洞利用成功的证明过程，并提供相应的漏洞分析，以加快管理员处理速度。对于上述未提供完善利用过程的漏洞将可能直接影响评分与奖励。
12.由于业务调整，不再更新或维护的产品或者业务系统、网站等资产将不给予金币奖励，原则上也不会修复；但为感谢漏洞提交者的提交，我们仍会给予对应的积分奖励。
13.对于第三方通用型漏洞造成的安全问题，请联系深信服 SRC 运营后根据情况可提交至CNVD/CNNVD 等平台。
14.所提交的漏洞报告如在审核中存有疑问或者需要联系漏洞提交者时，审核者通过留言联系
提交者，若审核 3 天内无法联系上提交者，则对所提交的漏洞报告暂评为“已忽略”状态。审核者后续能够联系上该提交者后则重新修改漏洞报告状态为“审核中”状态，重新或继续对该漏洞审核。
15.确立了安全问题的奖励范围后，根据漏洞利用前提条件与权限来确定具体的漏洞奖励：
严格禁止行为
1.以安全测试为借口，利用情报信息进行损害用户利益、影响业务正常运作、修复前公开、恶意宣扬炒作、盗取用户数据等行为的均将不会计分
2.SQL注入漏洞禁止读取表内数据，只要证明可以读取数据就行。对于UPDATE、DELETE、INSERT 等注入类型，禁止使用自动化工具进行测试
3.越权漏洞禁止进行批量读取，越权读取的时候，允许读取到的真实数据部超过5~7组左右（具体要求看）
4.测试XSS漏洞，证明危害即可，禁止进行获取其他用户cookie或用户信息等敏感操作
5.如果可以shell或者命令执行的，推荐上传一个文本证明，如纯文本的1.php、1.jsp等证明问题存在即可，禁止下载和读取服务器上任何源代码文件和敏感文件，禁止执行删除、写入命令，如果是上传的webshell，请写明shell文件地址和连接口令。
6.在测试未限制发送短信或邮件次数等扫号类漏洞，请使用自己的手机号或邮箱，禁止对其他用户进行轰炸测试
7.禁止进行物理测试、社会工程学测试或任何其他非技术手段测试
8.禁止进行内网渗透行为，如内网扫描、主机提权等行为
9.禁止进行可能引起业务异常运行的测试，例如：IIS的拒绝服务等可导致拒绝服务的漏洞测试以及DDOS攻击。
10.禁止保存、分享通过安全缺陷/问题/威胁情报获取到的数据信息（包括但不限于）：
a.禁止 Fork 、下载留存、分享 GIT 等途径泄露的信息文件（需在验证敏感性完成后及时进行删除操作）
b.禁止未经SRC 官方允许，擅自对外公布所发现的安全缺陷/问题/威胁情报细节、展示其中包含的敏感数据内
11.拒绝无实际危害证明的扫描器结果
12.以安全测试为借口，利用情报信息进行损害用户利益、影响业务正常运作、修复前公开、盗取用户数据等行为的，将不会计分，同时保留采取进一步法律行动的权利如需要进行具有自动传播和扩散能力漏洞的测试（如社交蠕虫的测试），只允许使用和其他账号隔离的小号进行测试。不要使用有社交关系的账号，防止蠕虫扩散。
13.禁止对网站后台和部分私密项目使用扫描器。
14.除特别获准的情况下，严禁与漏洞无关的社工，严禁进行内网渗透。
15.禁止进行可能引起业务异常运行的测试，例如：IIS的拒绝服务等可导致拒绝服务的漏洞测试以及DDOS攻击。
16.请不要对未授权厂商、未分配给自己的项目、超出测试范围的列表进行漏洞挖掘，可与管理员联系确认是否属于资产范围后进行挖掘，否则未授权的法律风险将由漏洞挖掘者自己承担。
17.禁止拖库、随意大量增删改他人信息，禁止可对服务稳定性造成影响的扫描、使用将漏洞进行黑灰产行为等恶意行为。
18.敏感信息的泄漏会对用户、厂商及上报者都产生较大风险，禁止保存和传播和业务相关的敏感数据，包括但不限于业务服务器以及Github 等平台泄露的源代码、运营数据、用户资料等，若存在不知情的下载行为，需及时说明和删除。
19.尊重《中华人民共和国网络安全法》的相关规定。禁止一切以漏洞测试为借口，利用安全漏洞进行破坏、损害用户利益的行为，包括但不限于威胁、恐吓SRC要公开漏洞或数据，请不要在任何情况下泄露漏洞测试过程中所获知的任何信息，漏洞信息对第三方披露请先联系SRC获得授权。企业将对违法违规者保留采取进一步法律行动的权利。

这些大概差不多了，但是具体环境具体应对，面包在这里希望大家，都能找到0day啊。

二、上网查阅关于安全方面的法律书籍（这个的可能很麻烦）

1.关于法律种类

1.《中华人民共和国网络安全法》自2017年6月1日起施行。
2.《互联网信息服务管理办法》2000年9月25日公布施行。
3.《计算机信息网络国际联网安全保护管理办法》于1997年12月30日实施。
4.《中华人民共和国计算机信息系统安全保护条例》1994年2月18日中华人民共和国国务院令第147号发布，根据2011年1月8日《国务院关于废止和修改部分行政法规的决定》修订。
5.《计算机信息系统国际联网保密管理规定》自2000年1月1日起施行。
我个人建议可以好好的看一下，毕竟关于一些没有SRC网站的中小型企业。我们只能根据大厂的要求来挖漏洞，这样可能会因为标准不同而导致。在挖漏洞的过程中带来一些不必要的麻烦。
最后，我又去问了问了学长。他告诉我其实除了gov.cn,edu.cn不能碰其实都可以碰！好家伙，小丑竟是我自己！！！

2.等保2.0的简介（建议网络安全方向的都可以了解）

简介如下：

从2007年《信息安全等级保护管理办法》开始，标志着等级保护1.0的正式启动。等级保护1.0规定了等级保护需要完成的“规定动作”，即定级备案、建设整改、等级测评和监督检查，为了指导用户完成等级保护的“规定动作”，在2008年至2012年期间陆续发布了等级保护的一些主要标准，构成等级保护1.0的标准体系。但是，随着信息技术的发展，等级保护对象已经从狭义的信息系统，扩展到网络基础设施、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、采用移动互联技术的系统等，基于新技术和新手段提出新的分等级的技术防护机制和完善的管理手段是等级保护2.0标准必须考虑的内容。关键信息基础设施在网络安全等级保护制度的基础上，实行重点保护，基于等级保护提出的分等级的防护机制和管理手段提出关键信息基础设施的加强保护措施，确保等级保护标准和关键信息基础设施保护标准的顺利衔接也是等级保护2.0标准体系需要考虑的内容。

我个人建议去读《网络安全法和网络安全等级保护2.0》这本书，讲的非常详细。
（简介和图片也是从书中摘要的）

总结

今天的介绍就到此为止了。由于我还是小白，所以难免有不足之处。欢迎大佬指正呀！鹅鹅鹅，我们下次再见！

面包牛奶的挖洞记录（一）漏洞扫描方面的法律须知和等级保护2.0简介相关推荐

从业余挖洞到微软漏洞研究员，我的遗憾、惊喜和建议
聚焦源代码安全,网罗国内外最新资讯! 作者:Abdulrahman Alqabandi 编译:代码卫士本文作者目前是微软的一名漏洞研究员,他讲述了将挖洞当作爱好和当作职业的笑与泪,以及一些建议忠告 ...
记一次src挖洞实战——逻辑漏洞
前言在学习了大量web逻辑漏洞的知识后,想进行实战.练练手.作为小菜鸡的我,这是我第二次进行实战挖洞,可能会存在许多问题.望各位大师傅多多指点. 闲话少说,直接开整实战 1.信息收集首先,在sr ...
挖洞思路----支付漏洞篇
介绍看了好多篇关于各位大佬总结的支付漏洞的技巧.思路等.现在想自己总结一下,也借鉴了一些大佬级人物总结的思路,各位勿喷,觉得可以就看一眼,觉得不好就忽略我这小白.仅用于个人学习使用.写这篇总结,案例 ...
threejs中几种挖洞方式
1.earcut多边形三角划分也可以用来直接挖洞 let prehole = [];for (let i: number = 0; i < hole.length; i++) {prehole. ...
Ubuntu操作系统漏洞扫描和分析
目录 1.介绍 2.Nessus简介 3. Nessus安装注册 3.1下载Nessus安装包 3.2 获取激活码 3.3 安装Nessus 3.4 激活Nessus及插件更新 3.5 添加用户 3. ...
SRC众测挖洞之支付逻辑漏洞的奇淫技巧
文章目录前言巧用支付页面低价签约漏洞低价会员升级循环利用优惠券并发请求测试并发领取奖品并发多次签到并发转账提现其他支付漏洞异常支付金额金额数量溢出更多支付漏洞总结前言最 ...
【渗透实战】日常挖洞第二期_旁站注入“花式”漏洞拿下大型服务器
/禁止转载原作者QQ:848581720/ ■重要细节全部打码 ■部分细节对外开放 ●漏洞已提交,无影响厂商忽略注:日常挖洞系列基本上是记录平常遇到的非常普通的漏洞,毫无看点,仅仅记录挖洞的经验 ...
SRC挖洞之文件上传/下载漏洞的实战案例
文章目录前言任意文件下载案例1 某OA系统任意文件下载案例2 某登录页面任意文件下载案例3 某金融网站任意文件下载案例4 服务端过滤 ../ 绕过下载案例5 %00截断后下载任意文件文 ...
【安全漏洞】挖洞小记
前言:上个月月初开始,在那些项目结束之后进入了挖洞时期,每天的日常工作就是挖洞,除非有临时的项目才会停下,最近在整理报告,发现了这个站,还是挺有意思的. 信息收集从fofa上找到了这个站点,叫做fa ...

面包牛奶的挖洞记录（一）漏洞扫描方面的法律须知和等级保护2.0简介