《Soul安全中心漏洞提交规范》

公告编号:Soul安全中心漏洞提交规范作者:admin发布日期:2021/09/22

本文用于规范用户通过SoulSRC提交漏洞及威胁情报的格式。提交漏洞或威胁情报需要按本规范填写,符合规范要求的漏洞或威胁情报(以下统称为漏洞)将优先审核。

 

一、漏洞名称

1.    应明确说明漏洞所在业务、漏洞类型等信息,避免使用【某业务】、【某网站】、【Soul】等泛指的词;

2.    若不确定漏洞所属的业务是什么,请使用域名或IP地址等代替;

3.    漏洞标题中不需要写该漏洞可能导致的影响内容、影响范围等。比如,避免使用标题【XXX漏洞泄露用户身*证XX个】等,此类信息请在漏洞详情中写明。

举例:

《Soul恋爱铃功能泄露用户敏感信息》

《http://xxx.soulapp.cn/xxxx泄露敏感信息》

《soul海外版越权查看用户敏感信息》

 

二、漏洞类型

1.    请按真实漏洞类型选择;

2.    对于漏洞类型确实不明确的,请先确定漏洞大类,再选择相应小类里的【其他】;

3.    若漏洞是由若干漏洞组合利用的,请选择其中最主要问题的漏洞类型;

4.    黑灰产情报、营销作弊、规则绕过、钓鱼网站等相关漏洞提交时,漏洞类型请优先选择威胁情报。

 

三、漏洞等级

1.    请严格按漏洞实际危害选择对应的漏洞等级,虚标漏洞等级会消耗大量资源响应。

 

四、漏洞URL

1.    Web 类漏洞需要提供漏洞URL;

2.    漏洞 URL 应当为漏洞最关键部分的URL,如存储XSS的输入或输出点页面URL、SQL注入点的URL、POST型反射XSS的目标URL等。

3.    URL需要是完整的链接,不能仅写主域名。

举例:

反射型XSS:https://www.xxx.com/foo/bar?alice=

GET型CSRF:https://www.xxx.com/update/profile?name=test

 

五、漏洞详情

1.    如无特殊必要情况,所有信息请直接填写在漏洞详情中,避免使用简单描述+文档/视频等方式,附加的文档/视频仅作为漏洞详情补充说明;

2.    准确描述漏洞出现的位置、测试步骤、PoC/EXP、影响大小等,并提供关键步骤的截图、利用成功的截图、视频等证明,测试步骤和POC必须完整。比如客户端漏洞需要提供准确的漏洞代码位置,包括包名、类名、关键部位代码问题说明;业务逻辑漏洞,需要明确说明功能入口;

3.    客户端漏洞需要提供存在问题的客户端、版本号,特殊渠道下载的包请说明下载来源;

4.    接口类URL漏洞,请同时提供调用此接口的业务页面URL,及前置步骤或前置权限,如有Referer校验的URL需要提供前置的测试步骤、需要使用卖家账号并购买了XX服务后才能测试的漏洞需要提供具体服务的地址;

5.    非常见漏洞类型请额外提供漏洞原理、成因、修复方案等,并附上参考资料链接;常见漏洞无需提供漏洞上述信息;

6.    漏洞关键步骤为HTTP POST的,请在漏洞详情末尾提供完整POST包,示例见下,POST包与正文请使用一行“+++++++++++”隔开, HTTP头的Cookie字段的值可置空,但需要留有Cookie字段名,若为文件上传类等漏洞,请把包中文件内容字段置空以减少内容大小;

附:HTTP POST数据包提交格式

这是漏洞详情正文正文正文
这是漏洞详情正文正文正文
这是漏洞详情正文正文正文

++++++++++++++++++
POST /welcome HTTP/1.1
Host: www.foo.com
Connection: close
Accept: application/json, text/javascript, */*; q=0.01
X-Requested-With: XMLHttpRequest
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Referer: https://taobao.com/index.html
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: [deleted]

id=ABCDE
++++++++++++++++

部分漏洞详情额外要求说明

1.    POST型CSRF、CORS、Jsonp劫持等:请提供PoC、漏洞所在页面URL;

2.    存储型XSS:请提供输入点所在页面URL、输入点字段名、Payload、输出点URL、输出点具体位置的截图说明,如果触发路径较长,需同时提供触发方式;

3.    SQL注入漏洞:请提供注入点URL所在页面URL(如果有)、注入点URL、注入成功后的截图;

4.    有账号认证的应用需提供漏洞测试时所使用的账号名信息。

5.    漏洞测试如果获取到webshell,请提供完整的webshell访问地址和连接密码。

 

 

在法律允许的最大范围内,本文档最终解释权归Soul安全应急响应中心所有。