安全問題反饋

漏洞評分標準 V 1.0

一.應用系統重要性分級標準 

1、核心應用:企查查官網、企查查APP

2、一般應用:接口查詢、部分開發平台等

3、邊緣應用:查詢服務、企業新聞等 

4、合作公司:……


1.1 測試範圍範圍定義

目前開放的測試範圍有且僅有以下範圍:

*.qcc.com

*.qichacha.net (包含手機APP)

*超出以上範圍但又確實屬於企查查的漏洞,視漏洞嚴重、影響程度給分或忽略。


1.2 測試深度

 不影響被測試、評估系統正常運行、不危害系統及平台用户隱私、數據安全的情況下,以測試和評估系統安全性為目的收集漏洞行為的正式授權,並知會用户相關不規範行為的法律風險。依據《中華人民共和國網絡安全法》,在沒有明確授權的情況下,任何漏洞發現行為都將有較大的法律風險。

特別的:目前暫時不對反射型XSS進行收集,特殊影響的反射型XSS除外。


1.3 測試注意事項

1、在測試SQL注入漏洞時,對於UPDATE、DELETE、INSERT 等注入類型,使用手工測試,禁止直接使用工具測試。

2、測試過程中,社工企業員工,注意分寸,切勿對個人造成名譽影響。

3、禁止修改廠商的任何數據,包括數據庫內容、賬户密碼、數據庫連接密碼等。

4、不允許使用掃描器對後台系統進行掃描。

5、對於不在客户測試範圍內的系統的測試,屬於未授權測試,平台和廠商有權追究其責任

以上所有漏洞級別可視應用場景再具體定級,如SQL注入涉及到的數據為邊緣系統或者測試數據則降低漏洞等級等。


二.漏洞提交方式

可以通過以下方式提交漏洞:

通過郵件將您所發現的安全問題發送至企查查安全漏洞接收專用郵箱: security@greatld.com

郵件標題中請註明"【集運4px】

經常出現敏感信息舉例:
1、常用發票抬頭等信息
2、訂單信息:客户訪問信息、支付金額、歷史訂單記錄
3、內部使用制度信息
4、後台的商品信息,比如門店信息、庫存信息、房型信息等
5、投訴相關信息



暫無數據
我的關注
企業對比
還可以添加5家企業 清空
找關係
還可以添加5家企業 清空