漏洞接受標準說明及改善建議
- Category: 公告
- Title: 漏洞接受標準說明及改善建議
- Author: HITCON ZeroDay 服務團隊
- Date: 2017/02/05
親愛的 HITCON ZeroDay 使用者您好,
有鑑於近來有通報者提出疑惑,詢問為何其通報之漏洞未通過審核及審核相關標準。故為避免產生標準不一之情況與提升通報品質,敬請詳閱以下漏洞接受標準,並於通報漏洞時多加留意。
資訊洩漏 (Information Leakage) 漏洞類型說明:
通報此漏洞必須可被用以進行進一步攻擊(如利用洩漏的錯誤訊息進行其他攻擊等),否則該筆通報將不予通過。範例:若網站僅顯示一行錯誤訊息,但無任何進一步利用方式,將不予通過。提交漏洞細節完整描述:
為協助企業精準地瞭解並修復您所通報的漏洞,請您於通報漏洞的「敘述」欄位中,盡可能地提供詳細攻擊語法、測試語法、重現方式等,並上傳佐證截圖,以利 ZeroDay 審核人員及被通報企業驗證,降低溝通的成本。舉例而言,通報 SQL Injection 漏洞,請附上足以重現漏洞的攻擊語法,如透過攻擊語法取得資料庫部分資訊,以便企業瞭解風險所在。測試時避免造成企業損失:
測試時請您特別留意,避免使用會對企業造成損害的測試手法,如竄改首頁、摧毀資料或造成無法還原的破壞等,以維護通報者及企業雙方之權益,避免爭議發生。僅接受台灣企業通報:
為了更有效率的服務台灣企業,HITCON ZeroDay 目前僅受理台灣地區相關通報,與其他地區的合作仍在努力中。若有其他地區漏洞被通報,本團隊將暫時不予審核通過,造成不便尚祈見諒。
以上審核說明及建議煩請各位使用者多加留意,若有任何疑問或建議,歡迎寄信至 service [at] zeroday.hitcon.org 與我們聯繫,感謝您的使用及配合。
HITCON ZeroDay 團隊 敬上