https://securitytcjf.com/gf.html
3月最后一天,又是大周末,如此时光,肯定是去加班啊~~~~~
在处理了TJSRC提交的漏洞信息,复测了漏洞修复的情况,写完3月的报告~~~~终于可以出去浪了~~~
17点28分,某只二哈白帽子发来微信~~~
当时吓得我手里羊肉串都掉了~~~~
18点再回公司,开始查看漏洞详情和拒绝服务的攻击过程并尝试远程唤醒,但无法实现~~~
到20点启动应急并通知业务组以及运维,同时接受被运维大佬按住以各种姿势摩擦~~摩擦~~再摩擦~~~~
截止21点,系统恢复运行,同时TJSRC发布了漏洞预警。
------------------------划重点----------------------------------------------
https://securitytcjf.com/gf.html
白帽测试行为规范第二条 白帽子在漏洞风险发现与技术验证过程中必须注意以下行为 :
1) 白帽子在漏洞风险发现与技术验证过程中必须要保证研究漏洞的方法、方式、工具及手段的合法性;
2) 在漏洞挖掘时实现非授权访问或用户权限越权,在完成非授权逻辑、越权逻辑验证时,不应再获取和留存用户信息和信息系统文件信息;
3) 在漏洞挖掘时可执行数据库查询条件,获得数据库实例、库表名称等信息证明时,不应再查询 涉及个人信息、业务信息的详细数据;
4) 在漏洞挖掘时获得系统主机、设备高权限,在获得当前用户系统环境信息证明时,不应再获取其他用户数据和业务数据信息。
5) 在漏洞挖掘时禁止利用当前主机或设备作为跳板,对目标网络内部区域进行扫描测试。
6) 在漏洞挖掘时应充分估计目标网络、系统的安全冗余,不应进行有可能导致目标网络、主机、设备瘫痪的大流量、大规模扫描;
7) 在漏洞挖掘时禁止执行可导致本地、远程拒绝服务危害的技术验证用例;
8) 在漏洞挖掘时禁止执行有可能导致整体业务逻辑扰动、有可能产生用户经济财产损失的技术验证用例;
9) 在漏洞挖掘时获得信息系统后台功能操作权限,获得当前用户角色属性证明时,不应再利用系统功能实施编辑、增删、篡改等操作;
10) 在漏洞挖掘时获得系统主机、设备、数据库高权限,获得当前系统环境信息证明时,不应再执行文件、程序、数据的编辑、增删、篡改等操作。
11) 在漏洞挖掘时信息系统上传可解析、可执行文件,在获得解析和执行权限逻辑证明时,不应驻留带有控制性目的程序、代码。
SO,接下来,大家说怎么处理这只二哈白帽子呢??TJSRC将从结果中评选优秀有创意的处理方案,并提供奖品哦~~~
欢迎VX或邮件lzj46672@ly.com投稿!(我想某只二哈白帽子现在的心情应该和我昨天一样吧~~~~哈哈哈哈哈哈~~~~)
