xray PoC 审核新标准公布

#xray PoC 审查新标准公布\r

## 为什么要创建新规则\r

在近期的运营过程中，我们发现现有的PoC内含奖励体系还不够完善，部分功能缺失。 \r

为了增加对提交PoC的高手的奖励，也为了让xray能够更准确地扫描更多的漏洞，为高手提供更好的检测结果，我们对现有的规则进行了更新。 \r

\r

###PoC 纳入标准\r

未编号漏洞（满足以下任一条件）：\r

\r

1、空间搜索引擎最高准确唯一搜索量=500（fofa、shodan、zoomeye等搜索资产数量）\r

2、内网大量资产存在PoC对应的漏洞（需提供证明，可通过微信群私聊查看）\r

3、PoC对应的漏洞属于重要资产（需提供证明，可通过微信群私聊查看）\r

\r

存在编号漏洞（满足以下任一条件）：\r

\r

1、空间搜索引擎最高准确唯一搜索量=300（fofa、shodan、zoomeye等搜索资产数量）\r

2、内网大量资产存在PoC对应的漏洞（需提供证明，可通过微信群私聊查看）\r

3、PoC对应的漏洞属于重要资产（需提供证明，可通过微信群私聊查看）\r

\r

注：\r

\r

1. Xray本身可以检测到的常见漏洞不包括在内。例如，使用XSS漏洞编写的POC可以被Xray检测到

2.不再收录弱口令、默认口令等漏洞（特殊情况或危害性较高的漏洞可通过私聊审核后提交POC）\r

3、需要授权（登录后）的漏洞暂时不再收录（特殊情况或危害性较高的漏洞可私聊审核后提交POC）\r

4、5年以上漏洞POC可获得的金币减半（特殊情况或危害性较大的漏洞POC可私聊审核后提交）\r

\r

## PoC奖励系统\r

1.PoC奖励金额：10金币~500金币\r

2.奖励标准\r

一个PoC会从三个方面考虑它的价值：\r

\r

* 本次PoC检测到的漏洞危害程度（严重、高风险、中风险、低风险）\r

* 严重\r

* 直接获取业务服务器权限、获取重要数据的漏洞，包括但不限于命令执行、webshell上传、代码执行、SQL注入获取大量重要数据\r

* 严重影响系统业务和数据安全的逻辑漏洞，包括但不限于任意账户密码重置或更改漏洞、任意账户资金消耗、系统易被利用、严重未授权访问漏洞、后台管理系统未授权访问、严重敏感信息泄露等\r

* 直接导致核心业务拒绝服务的漏洞，包括通过远程拒绝服务漏洞直接导致线上核心应用、系统、服务器无法继续提供服务的漏洞\r

* 高风险\r

* 敏感信息泄露漏洞，包括但不限于源代码压缩包泄露、SQL注入、未经授权访问或直接访问大量用户和员工信息\r

*账号暴力破解漏洞\r

* 一个可以远程获取客户端和服务器权限的漏洞。包括但不限于SSRF、远程缓冲区溢出、存储型XSS、可获取cookie等敏感信息的XSS\r

* 中等风险\r

* 普通信息泄露，包括但不限于不涉及敏感数据的SQL注入、对数据量影响有限或敏感性有限的未授权访问、源代码或系统日志等信息泄露\r

* 需要受害者交互或其他先决条件才能获取用户身份信息的漏洞。包括但不限于包含用户和网站敏感数据的JSON劫持、重要操作的CSRF（如支付操作、发布信息或修改个人账户敏感信息）、反射型XSS\r

* 常见逻辑缺陷和权限过高漏洞\r

*低风险\r

* 轻微信息泄露，包括但不限于路径、SVN信息泄露、PHPinfo、包含少量敏感字段的异常和调试信息、日志打印和配置泄露\r

* 应用场景有限的漏洞和难以利用的安全漏洞。包括但不限于限制反射或自XSS、短信/邮件轰炸、URL跳转、敏感操作的CSRF\r

\r

## 评级\r

|危险级别|严重/高风险|中风险|低风险|\r

| -----| -----| -----| ----- |\r

|奖励|350|200|50|\r

\r

### 五年以上发布的漏洞POC评分标准：\r

|危险级别|严重/高风险|中风险|低风险|\r

| -----| -----| -----| ----- |\r

|奖励|175|100|25|\r

\r

注: CT Stack保留最终解释权