漏洞的收集

反馈到官方网站上相应的漏洞。

 

联系方式
联系邮箱：ass@dx2.cn
客服电话：400-668-9293
联系地址：深圳市龙华区大浪华繁路嘉安达大厦19楼、21楼
在线反馈：https://www.dx2.cn/message.html

 

漏洞的定义

严重的

1.远程直接访问系统权限（服务器权限、客户端权限、智能设备）的漏洞，包括但不限于执行任意的代码、执行任意的命令，以及上传和采用特洛伊木马。

2.移动终端：执行远程代码的漏洞。

3.设备终端：导致设备永久不能工作的漏洞，包括但不限于远程发起的对系统设备造成永久不能工作的攻击（设备不能使用：完全永久损坏，或整个系统需要重写），攻击期间不允许与设备进行物理接触，攻击可快速批量复制

 

高风险

1.直接导致在线服务器敏感信息泄露的漏洞，包括但不限于核心系统源代码的泄露、用户账户支付相关信息的泄露或服务器敏感日志文件的下载。

2.影响在线服务正常运行的漏洞，如应用程序层拒绝服务。

3.系统存在逻辑设计缺陷，可能导致未授权操作，如未授权访问敏感信息。

 

中度风险

1.一般信息公开，包括但不限于移动客户端明文存储密码、包含服务器或数据库敏感信息的源代码压缩包的下载等。

2.系统的逻辑设计缺陷，如绕过商品邮资、支付漏洞等。

 

低风险漏洞

1.可用于网络钓鱼攻击的漏洞，包括但不限于URL重定向漏洞。

2.本系统的逻辑设计缺陷。

3.次要信息泄露漏洞，包括但不限于路径泄露、.git文件泄露、服务端业务日志内容。

 

忽略的问题

1.与安全无关的错误问题，包括但不限于网页打开缓慢和样式紊乱。

2.所提交的报告太简单，无法根据报告内容进行复制，包括但不限于不能通过与漏洞审查员反复沟通而复制的漏洞。

3.未维护的产品、应用或模块

4.一般协议的漏洞，如WIFI、MQTT、BLE和Zigbee

 

漏洞处理时间表

类型	确认时间	处理时间
严重的漏洞	6小时内	12小时内
高风险漏洞	12小时内	24小时内
中风险漏洞	24小时内	48小时内
低风险漏洞	3天内	7天内
忽略的问题	7天内	更新版本迭代

 

漏洞处理

1.解决方案决策：技术人员应确定如何彻底解决漏洞，减少漏洞的影响，或减少暴露。

2.修复补丁生成：技术人员应生成修复补丁、修复程序、升级程序或更改文档或更改配置，以解决漏洞。

3.修复策略测试（补丁）：技术人员应执行适当的测试，以确保平台上的所有漏洞问题都得到解决。

 

发布/反馈相关的漏洞

在线服务漏洞解决方案：应遵循生产系统的更新和安排或组织的配置修改流程

 

漏洞修复

1.解决方案决策：技术人员应确定如何彻底解决漏洞，减少漏洞的影响，或减少暴露。

2.修复补丁生成：技术人员应生成修复补丁、修复程序、升级程序或更改文档或更改配置，以解决漏洞。

3.修复策略测试（补丁）：技术人员应执行适当的测试，以确保所有受支持的平台上的所有漏洞问题都得到解决。

4.对于受影响的用户，必须采取一些措施来保护产品中存在的漏洞（例如，安装修补程序）。

5.您也可以通过官方网站直接咨询售后部门，更新到最新的版本。