登录账户
首页
提交漏洞
公告
贡献榜
礼品兑换
SRC导航
公告新闻
/ [GSRC23-06]【测试标准】吉利汽车安全应急响应中心测试红线
[GSRC23-06]【测试标准】吉利汽车安全应急响应中心测试红线
公告编号:
GSRC20230602-02
作者:
be4r
发布日期:
2023/06/25
#### 第一类事件: 1. 漏洞泄密,漏洞内容主动泄漏给第三方。 2. 数据留存,测试敏感数据泄漏(账密、敏感key、订单、人员身份信息等)问题,在漏洞确认后1个月未对测试过程中获取到的相关信息进行完全删除。 3. 存储不当,使用云上网盘提供的在线存储服务或包含网络同步功能的本地软件,来存储测试过程中获取到的相关信息,导致泄漏。 4. 瞒报问题,对于发现的敏感数据未完全上报明显有所保留,或发现漏洞后1周内未上报相关漏洞。 5. 客户影响,测试轻微影响到了其他用户的产品使用引起少量投诉等不良反馈。 #### 第二类事件: 1. 生产事故,测试造成重要业务中断直接引发大面积故障。 2. 危害用户,测试影响了大量用户,造成用户侧大量投诉。 3. 敏感数据,获取敏感数据请求平时测试不要超过10条。 4. 深度利用,拒绝内网渗透,禁止获取内网权限后在内网使用扫描器、或横向接触非测试靶机类目标、获取内网应用/主机权限等。 5. 完整性破坏,使用越权删除等问题,对线上系统造成完整性的破坏,导致重要数据丢失。 6. 可用性破坏,使用dos类缺陷或其他手法,对线上系统造成了可用性的破坏,导致系统不可用。 7. 社工攻击,如使用钓鱼邮件进行攻击,进一步种植木马病毒、窃取公司机密等。 8. 其他故意危害计算机信息网络安全导致严重后果的行为。无意的下载、删除等行为,请立刻删除本地数据、恢复线上业务、报备漏洞审核或运营同学。
