关于 教育行业漏洞报告平台(Beta)

教育行业漏洞报告平台是一个由教育部教育管理信息中心主办,面向全教育行业的漏洞报告平台。平台旨在汇聚多方力量,帮助提升教育系统关联学校、单位的信息系统安全性,为推进教育信息化建设保驾护航。

漏洞报告说明

一旦完成注册,我们认为您已经仔细阅读并同意如下的规则,如果您并不认同如下条款,请不要注册或者提交任何漏洞。

  • 本平台是一个聚焦教育行业的第三方漏洞报告平台,请勿提交不属于教育行业的安全漏洞。
  • 所有的在校学生均可以注册成为本平台的白帽子。
  • 现阶段,白帽子使用邮箱注册平台,并使用邮箱进行登录。
  • 白帽子在挖掘、提交相关漏洞的过程中,必须遵守中华人民共和国相关法律法规以及本平台相关规定。
  • 漏洞标题、简要描述、评分、评论等内容,所有注册白帽子均可见。
  • 漏洞详情只有相关单位管理员和漏洞提交者可见。
  • 白帽子提交的漏洞由目标单位管理员确认,如果目标单位暂未进驻教育行业漏洞报告平台,则由本平台审核人员进行确认评分。
  • 漏洞被确认以后,白帽子可以获得相应积分(Rank)奖励。
  • 随着Rank的提升,白帽子等级也会随之提升,高级别白帽子将会有更多特权。
  • 在获得Rank的同时,白帽子将获得一定金币。
  • 白帽子可以在礼品中心,利用金币兑换相应的礼品。

漏洞挖掘过程中不允许的行为

白帽子在挖掘、提交相关漏洞的过程中,应严格遵守中华人民共和国相关法律法规:

第八条 按照对信息系统机密性、可用性、完整性等三方面要素的影响评估,漏洞风险发现与技术验证应遵循无害化原则:

(一)信息系统机密性无害化验证指导场景:

可实现非授权访问或用户权限越权,在完成非授权逻辑、越权逻辑验证时,不应再获取和留存用户信息和信息系统文件信息;

可执行数据库查询条件,在获得数据库实例、库表名称等信息证明时,不应再查询涉及个人信息、业务信息的详细数据;

可获得系统主机、设备高权限,在获得当前用户系统环境信息证明时,不应再获取其他用户数据和业务数据信息;

禁止利用当前主机或设备作为跳板,对目标网络内部区域进行扫描测试。

(二) 信息系统可用性无害化验证指导场景:

应充分估计目标网络、系统的安全冗余,不进行有可能导致目标网络、主机、设备瘫痪的大流量、大规模扫描;

禁止执行可导致本地、远程拒绝服务危害的技术验证用例;

禁止执行有可能导致整体业务逻辑扰动、有可能产生用户经济财产损失的技术验证用例。

(三) 信息系统完整性无害化验证指导场景:

可获得信息系统后台功能操作权限,在获得当前用户角色属性证明时,不应再利用系统功能实施编辑、增删、篡改等操作;

可获得系统主机、设备、数据库高权限,在获得当前系统环境信息证明时,不应再执行文件、程序、数据的编辑、增删、篡改等操作;

可在信息系统上传可解析、可执行文件,在获得解析和执行权限逻辑证明时,不应驻留带有控制性目的程序、代码。

白帽子在挖掘、提交相关漏洞的过程中,除遵守中华人民共和国相关法律法规,还需注意遵守以下行为规范:

  • 测试完成之后,应该及时删除测试过程中遗留的相关文件和权限(如Webshell等),请勿在目标系统中留任何后门或可能被其他人猜到的程序、代码。
  • 不修改、不增加、不删除被测试网站的相关数据。在测试漏洞需要修改一定测试数据的情况下,请联系本平台工作人员,获取最终授权后才能进行测试。
  • 测试过程中仅可证明漏洞存在,进行无害化验证,不允许利用漏洞(如SQL注入)拖取信息。
  • 测试过程中利用漏洞获取到相关系统的权限,如若要继续深入,请先联系本平台工作人员,请勿利用该权限进行扫描、设置跳板代理。
  • 请勿对测试目标进行大规模并发扫描,并确保漏洞挖掘行为不会影响目标系统正常运行与访问。
  • 涉及金钱相关漏洞的测试(如支付相关),请在漏洞报告中说明测试结果与测试账户,禁止借机利用相关漏洞牟利。
  • 在漏洞挖掘过程中,不允许将漏洞内容泄露给无关人员。
  • 请尽量测试准确后再提交漏洞,严禁提交虚假漏洞。

漏洞评分标准

漏洞的评分(Rank)范围为0 ~ 10,分为严重(Critical)、高(High)、中(Medium)、低(Low)四个级别。不同等级的漏洞分数范围如下:

等级 分值
严重 9~10
7~9
4~7
0~4

漏洞等级介绍:

严重

  1. 直接获取重要服务器(客户端)权限的漏洞。包括但不限于远程任意命令执行、上传 webshell、可利用远程缓冲区溢出、可利用的 ActiveX 堆栈溢出、可利用浏览器 use after free 漏洞、可利用远程内核代码执行漏洞以及其它因逻辑问题导致的可利用的远程代码执行漏洞;
  2. 直接导致严重的信息泄漏漏洞。包括但不限于重要系统中能获取大量信息的SQL注入漏洞;
  3. 能直接获取目标单位核心机密的漏洞;

高危

  1. 直接获取普通系统权限的漏洞。包括但不限于远程命令执行、代码执行、上传webshell、缓冲区溢出等;
  2. 严重的逻辑设计缺陷和流程缺陷。包括但不限于任意账号密码修改、重要业务配置修改、泄露;
  3. 可直接批量盗取用户身份权限的漏洞。包括但不限于普通系统的SQL注入、用户订单遍历;
  4. 严重的权限绕过类漏洞。包括但不限于绕过认证直接访问管理后台、cookie欺骗。
  5. 运维相关的未授权访问漏洞。包括但不限于后台管理员弱口令、服务未授权访问。

中危

  1. 需要在一定条件限制下,能获取服务器权限、网站权限与核心数据库数据的操作。包括但不限于交互性代码执行、一定条件下的注入、特定系统版本下的getshell等;
  2. 任意文件操作漏洞。包括但不限于任意文件写、删除、下载,敏感文件读取等操作;
  3. 水平权限绕过。包括但不限于绕过限制修改用户资料、执行用户操作。

低危

  1. 能够获取一些数据,但不属于核心数据的操作;
  2. 在条件严苛的环境下能够获取核心数据或者控制核心业务的操作;
  3. 需要用户交互才可以触发的漏洞。包括但不限于XSS漏洞、CSRF漏洞、点击劫持;

存在以下情况我们将酌情将漏洞等级降低:

  • 漏洞真实存在,但因为各种问题(如WAF),白帽子无法说明利用方法的
  • 漏洞提交前,相关单位已经知晓,但暂未修复的已知漏洞
  • 漏洞触发需要一定条件的,具有一定的偶然性
  • 同一单位多处相似漏洞
  • 恶意夸大漏洞危害的

如下漏洞将被忽略:

  • 非(不确定)教育相关行业单位
  • 不在奖励范围内的高校
  • 虚假漏洞
  • 本平台上已有其他白帽子提交过的漏洞
  • 互联网上已经被公开的漏洞
  • 提交到本平台后又提交到其他平台的漏洞
  • 没有链接、截图、利用方法等漏洞详情不详细的漏洞
  • 需要登录管理员后台才能触发的漏洞
  • 需要中间人攻击的漏洞
  • Self-XSS
  • 无敏感操作的CSRF漏洞
  • 钓鱼漏洞
  • 无敏感信息的 JSON Hijacking
  • 扫描器取得结果,但白帽子无法提供利用方法的漏洞
  • 无意义的源码泄露、内网IP、域名泄露
  • 拒绝服务漏洞

奖励范围

现阶段,教育行业漏洞报告平台接收如下类别单位漏洞:

  • 教育部
  • 各省、自治区教育厅、直辖市教委
  • 高校
  • 教育相关软件

在上述范围之外的漏洞,暂无奖励。

奖励发放规则

白帽子提交漏洞,可获取一定金币,在礼品中心可以利用金币兑换相关礼品。

在本平台中,Rank是用户积分,正常情况下不会减少(违反规则被扣除积分的除外)。金币是消耗品,在兑换礼品后会减少。

用户兑换礼品时需要填写个人联系方式(包括联系电话、收货地址等),如果填写的联系方式不准确,将不能及时发货。

用户提交订单后,后台管理员进行审核并发货,订单号、兑换码等信息将会返回在订单状态中,查看订单列表( https://src.edu-info.edu.cn/profile/order/ )即可查看订单的实时状态。

Rank、金币比例

现阶段,用户获取的金币和Rank相等,其比例为1:1。即获取1 rank的情况下,将同时获取1金币。平台管理人员将根据实际运营情况,不定期调整比例。