Общие принципы оценки уязвимости
1. Проблема слабого пароля: Для нескольких пользователей со слабыми паролями в одной и той же системе будет подтвержден только первый, а последующие отправки будут считаться дублирующими уязвимостями. Слабый пароль одного и того же пользователя может использоваться для входа в разные системы, что считается одна и та же уязвимость и будет решаться совместно.
2. Для уязвимостей SQL-инъекции необходимо указать одни из данных, чтобы доказать вред. Категорически запрещается перетаскивать библиотечный стол. Простые сообщения об ошибках, не представляющие никакой опасности, будут проигнорированы.
3. Если не указано иное, связанные уязвимости будут украина whatsapp номер база данных объединены и вознаграждены в соответствии с уязвимостью самого высокого уровня, например, сначала отправка слабого пароля для входа в уязвимость бэкэндаинтранета, а затем отправка SQL-инъекции или несанкционированной уязвимости для входа в бэкэнд интрасеть. Представленные позднее SQL-запросы и несанкционированные уязвимости будут обработаны совместно, и аудитор свяжется с сотрудниками службы безопасности, чтобы определить, следует ли разрешить дальнейшее углубленное тестирование системы. Если разрешено, вы можете провести тестирование в обычном режиме и сообщить о любых обнаруженных проблемах отдельно.
4. Несколько уязвимостей, созданных одним и тем же источником уязвимости, считаются одной уязвимостью. На веб-уровне одно и то же доменное имя или IP принадлежит одному и тому же источнику уязвимости, а вознаграждение за уязвимость присуждается в соответствии с уязвимостью самого высокого уровня.
5. Для неэффективныхзаброшенных бизнес-систем понизьте их рейтинг .