項(xiàng)目采購需求說明

一、基本情況

(一)項(xiàng)目名稱

中國農(nóng)業(yè)發(fā)展銀行安全測試服務(wù)項(xiàng)目。

(二)項(xiàng)目主要內(nèi)容

本采購項(xiàng)目是對(duì)中國農(nóng)業(yè)發(fā)展銀行(簡稱"農(nóng)發(fā)行")軟件

系統(tǒng)實(shí)施滲透測試、交互式應(yīng)用安全測試，以發(fā)現(xiàn)軟件系統(tǒng)中存

在的安全漏洞，整體檢驗(yàn)軟件系統(tǒng)安全性。

外包服務(wù)商資質(zhì)及人

員資質(zhì)，須滿足以下需求：

1、外包服務(wù)商應(yīng)在信息安全領(lǐng)域有豐富的經(jīng)驗(yàn)與先進(jìn)的技

術(shù)，需有對(duì)系統(tǒng)漏洞進(jìn)行發(fā)現(xiàn)、驗(yàn)證以及修復(fù)的技術(shù)能力，并在

近 3 年有過為銀行業(yè)提供安全測試服務(wù)、眾測服務(wù)、攻防演練或

紅藍(lán)對(duì)抗服務(wù)的經(jīng)歷，外包服務(wù)商需提供相關(guān)證明文件。

2、外包服務(wù)商應(yīng)向 CNVD/CNNVD/CVE 等國家或國際漏洞平臺(tái)提交過原創(chuàng)漏洞，外包服務(wù)商需提供相關(guān)證明文件。

3、外包服務(wù)商應(yīng)具備國家級(jí)機(jī)構(gòu)或國際權(quán)威機(jī)構(gòu)核發(fā)的有

效期內(nèi)資質(zhì)認(rèn)證，并提供相關(guān)證明文件：

(1)ISO20000 服務(wù)體系認(rèn)證證書、ISO27001 信息安全管理體系認(rèn)證證書。

(2)國家信息安全測評(píng)信息安全服務(wù)資質(zhì)證書。

1

4、外包服務(wù)商安全測試服務(wù)人員規(guī)模達(dá)到 100 人以上，安

全測試實(shí)施人員必須與外包服務(wù)商簽署正式勞動(dòng)合同，并提供相

關(guān)證明文件。

5、外包服務(wù)商不得將本項(xiàng)目轉(zhuǎn)包、分包給第三方。

二、商務(wù)要求

(一)服務(wù)地點(diǎn)

實(shí)施地點(diǎn)為中國農(nóng)業(yè)發(fā)展銀行軟件開發(fā)中心(西安、珠海、

北京、合肥)，根據(jù)項(xiàng)目需求安排各地駐場人員。

(二)服務(wù)周期

本項(xiàng)目預(yù)計(jì)實(shí)施周期 12 個(gè)月。

(三)保密要求

1、外包服務(wù)商須與我行簽訂保密協(xié)議，對(duì)我行提供的數(shù)據(jù)

信息及有關(guān)商業(yè)秘密嚴(yán)格保密，不得向第三方提供任何信息。

2、外包服務(wù)商與項(xiàng)目實(shí)施人員在軟件項(xiàng)目開始前應(yīng)簽署保

密協(xié)議，并對(duì)測試過程、測試賬號(hào)、測試地址、測試結(jié)果等信息

嚴(yán)格保密。

3、項(xiàng)目實(shí)施人員需對(duì)測試結(jié)果全部以測試報(bào)告形式輸出，不得隱瞞測試過程發(fā)現(xiàn)的問題。

三、服務(wù)要求

(一)服務(wù)目標(biāo)

1、外包服務(wù)商需自行準(zhǔn)備移動(dòng)端測試設(shè)備和滲透測試輔助

工具(所準(zhǔn)備的工具擁有正版授權(quán))，用于輔助工作的開展，包

2

括但不限于滲透測試工具、漏洞掃描工具等。

2、外包服務(wù)商需使用農(nóng)發(fā)行提供的交互式應(yīng)用安全測試工

具對(duì)軟件系統(tǒng)進(jìn)行交互式應(yīng)用安全測試，識(shí)別漏洞并出具交互式

應(yīng)用安全測試報(bào)告。

3、外包服務(wù)商需根據(jù)農(nóng)發(fā)行要求，采用駐場模式開展軟件

項(xiàng)目安全測試。

4、外包服務(wù)商需根據(jù)農(nóng)發(fā)行測試體系規(guī)范對(duì)每個(gè)軟件項(xiàng)目，制定安全測試方案，包括測試目的、測試范圍、測試標(biāo)準(zhǔn)、測試

計(jì)劃、測試環(huán)境、測試策略、測試流程、項(xiàng)目管理、漏洞評(píng)級(jí)標(biāo)

準(zhǔn)、測試交付物等內(nèi)容。

5、外包服務(wù)商需對(duì)每個(gè)軟件項(xiàng)目在滲透測試實(shí)施前，設(shè)計(jì)

滲透測試用例，測試用例需依據(jù)最新的《金融網(wǎng)絡(luò)安全 Web 應(yīng)用服務(wù)安全測試通用規(guī)范》進(jìn)行設(shè)計(jì)和覆蓋，且必須要覆蓋農(nóng)發(fā)行

的滲透測試案例庫和需求規(guī)格說明書中安全需求項(xiàng)的全部內(nèi)容，外包服務(wù)商還需在農(nóng)發(fā)行的滲透測試案例庫的基礎(chǔ)上進(jìn)行有效

補(bǔ)充。

6、外包服務(wù)商在安全實(shí)施過程中，需對(duì)關(guān)鍵步驟進(jìn)行截圖

取證。

7、外包服務(wù)商在對(duì)軟件項(xiàng)目進(jìn)行滲透測試、交互式應(yīng)用安

全測試時(shí)，需配合開發(fā)人員進(jìn)行安全漏洞分析，協(xié)助解決安全漏

洞。

3

8、外包服務(wù)商需對(duì)安全測試結(jié)果進(jìn)行核實(shí)，核實(shí)漏洞信息

并排除誤報(bào)，并配合農(nóng)發(fā)行進(jìn)行漏洞修復(fù)和復(fù)現(xiàn)。

9、外包服務(wù)商需嚴(yán)格按照漏洞定級(jí)標(biāo)準(zhǔn)(詳見服務(wù)要求-漏

洞定級(jí)標(biāo)準(zhǔn))對(duì)漏洞進(jìn)行定級(jí)，出具漏洞修復(fù)方案，協(xié)助農(nóng)發(fā)行

完成漏洞修復(fù)，并對(duì)修復(fù)的效果進(jìn)行驗(yàn)證，確保修復(fù)結(jié)果的有效

性。

10、外包服務(wù)商需根據(jù)農(nóng)發(fā)行測試體系規(guī)范對(duì)每個(gè)軟件項(xiàng)目

出具詳細(xì)的滲透測試報(bào)告、交互式應(yīng)用安全測試報(bào)告，報(bào)告中要

明確測試范圍、測試工具與方法、漏洞名稱、漏洞等級(jí)、漏洞位

置、漏洞影響、漏洞復(fù)現(xiàn)步驟、修復(fù)方案及測試結(jié)論等，最終漏

洞等級(jí)以農(nóng)發(fā)行確認(rèn)為準(zhǔn)。

11、外包服務(wù)商需對(duì)每個(gè)軟件項(xiàng)目提交安全測試交付物，包

括安全測試方案、滲透測試用例、滲透測試報(bào)告、交互式應(yīng)用安

全測試報(bào)告等。

(二)服務(wù)內(nèi)容

1、安全測試服務(wù)包括交互式應(yīng)用安全測試、滲透測試等服

務(wù)。

2、交互式應(yīng)用安全測試服務(wù)需依據(jù)農(nóng)發(fā)行交互式應(yīng)用安全

測試工具操作手冊(cè)進(jìn)行測試，包括探針布置、漏洞檢測與分析、

風(fēng)險(xiǎn)識(shí)別、協(xié)助漏洞修復(fù)、出具交互式應(yīng)用安全測試報(bào)告等。

3、滲透測試服務(wù)需依據(jù)國際和業(yè)界一致認(rèn)可的 OWASP、最新

4

的《金融網(wǎng)絡(luò)安全 Web 應(yīng)用服務(wù)安全測試通用規(guī)范》安全滲透測試標(biāo)準(zhǔn)、方法，在獲得授權(quán)下，模擬入侵者的攻擊手段，運(yùn)用多

種測試技術(shù)，在網(wǎng)絡(luò)邊界、業(yè)務(wù)邊界、邏輯邊界等滲透點(diǎn)，對(duì)軟

件系統(tǒng)進(jìn)行滲透測試，充分挖掘、驗(yàn)證信息系統(tǒng)、基礎(chǔ)網(wǎng)絡(luò)以及

安全防御體系存在的安全漏洞和隱患。

若被測軟件系統(tǒng)采用人工

智能、區(qū)塊鏈、大數(shù)據(jù)、云計(jì)算、物聯(lián)網(wǎng)、生物識(shí)別等新型金融

技術(shù)，滲透測試需涵蓋常規(guī)類滲透測試服務(wù)的通用滲透測試要點(diǎn)，還需依據(jù)國際和行業(yè)安全滲透測試通用標(biāo)準(zhǔn)對(duì)新型技術(shù)的測試

要點(diǎn)進(jìn)行全覆蓋測試。

4、軟件項(xiàng)目范圍：

互聯(lián)網(wǎng)項(xiàng)目需要進(jìn)行交互式應(yīng)用安全測試和滲透測試，共 48

個(gè)項(xiàng)目：

(1) 財(cái)務(wù)管理系統(tǒng)多機(jī)構(gòu)分?jǐn)們?yōu)化

(2) 財(cái)務(wù)管理系統(tǒng)優(yōu)化(2024)

(3) 財(cái)務(wù)管理系統(tǒng)重構(gòu)

(4) 國際業(yè)務(wù)網(wǎng)銀外聯(lián)優(yōu)化

(5) 集中采購管理系統(tǒng)重構(gòu)

(6) 減值系統(tǒng)參數(shù)調(diào)整優(yōu)化

(7) 減值系統(tǒng)優(yōu)化(2024)

(8) 客戶端版網(wǎng)銀建設(shè)項(xiàng)目

(9) 客戶關(guān)系管理系統(tǒng)和客戶集市營銷管理優(yōu)化

5

(10) 客戶關(guān)系管理系統(tǒng)優(yōu)化(2024)

(11) 快貸系統(tǒng)審批功能優(yōu)化

(12) 農(nóng)發(fā) E 學(xué)院重構(gòu)

(13) 農(nóng)發(fā)智購優(yōu)化

(14) 農(nóng)發(fā)智銀統(tǒng)一門戶建設(shè)

(15) 普及版網(wǎng)銀建設(shè)項(xiàng)目

(16) 企業(yè)網(wǎng)銀 5.0

(17) 企業(yè)網(wǎng)銀系統(tǒng)優(yōu)化

(18) 企業(yè)郵箱優(yōu)化

(19) 手機(jī)銀行 3.0

(20) 手機(jī)銀行優(yōu)化升級(jí)

(21) 數(shù)智函證系統(tǒng)優(yōu)化

(22) 數(shù)智函證優(yōu)化(2024)

(23) 數(shù)字協(xié)同平臺(tái)優(yōu)化

(24) 微信客服優(yōu)化

(25) 微信客服重構(gòu)

(26) 小微智貸獨(dú)立法人貸系統(tǒng)場景優(yōu)化

(27) 小微智貸系統(tǒng)智鏈貸優(yōu)化

(28) 行政服務(wù)數(shù)字化平臺(tái)建設(shè)

(29) 押品管理系統(tǒng)業(yè)務(wù)流程優(yōu)化

(30) 押品管理系統(tǒng)優(yōu)化(2024)

6

(31) 業(yè)績?cè)u(píng)價(jià)系統(tǒng)績效管理優(yōu)化

(32) 業(yè)績?cè)u(píng)價(jià)系統(tǒng)優(yōu)化(2023)

(33) 業(yè)務(wù)連續(xù)性管理系統(tǒng)優(yōu)化

(34) 移動(dòng)辦貸系統(tǒng)流程審批優(yōu)化

(35) 移動(dòng)辦貸系統(tǒng)優(yōu)化(2024)

(36) 園區(qū)智能服務(wù)平臺(tái)建設(shè)

(37) 遠(yuǎn)程銀行建設(shè)

(38) 運(yùn)營家園建設(shè)

(39) 智慧黨建系統(tǒng)優(yōu)化

(40) 綜合辦公平臺(tái)公文管理優(yōu)化

(41) 綜合辦公平臺(tái)優(yōu)化(2024)

(42) API 開放平臺(tái)優(yōu)化

(43) 農(nóng)發(fā)銀輝技術(shù)升級(jí)

(44) 農(nóng)發(fā)智貸平臺(tái)

(45) 移動(dòng)辦公優(yōu)化

(46) 移動(dòng)開發(fā)平臺(tái)技術(shù)升級(jí)

(47) 移動(dòng)開發(fā)平臺(tái)技術(shù)升級(jí)(2023)

(48) 應(yīng)用加固服務(wù)平臺(tái)項(xiàng)目

等保三級(jí)及農(nóng)發(fā)行重要系統(tǒng)項(xiàng)目需要做滲透測試，共 37 個(gè)

項(xiàng)目：

(1) 報(bào)文清算系統(tǒng) 2024 年優(yōu)化項(xiàng)目

7

(2) 報(bào)文清算系統(tǒng)賬單模組優(yōu)化

(3) 國際結(jié)算系統(tǒng) 2024 年優(yōu)化項(xiàng)目

(4) 國際結(jié)算系統(tǒng)業(yè)務(wù)流程優(yōu)化

(5) 核心業(yè)務(wù)系統(tǒng)架構(gòu)轉(zhuǎn)型

(6) 核心業(yè)務(wù)系統(tǒng)優(yōu)化(2024)

(7) 核心業(yè)務(wù)系統(tǒng)優(yōu)化(基金核算)

(8) 核心業(yè)務(wù)系統(tǒng)賬戶檢測優(yōu)化

(9) 票據(jù)交易系統(tǒng)銀承功能優(yōu)化

(10) 票據(jù)交易系統(tǒng)優(yōu)化(2024)

(11) 渠道中臺(tái)建設(shè)

(12) 外匯資金管理系統(tǒng)和報(bào)價(jià)引擎系統(tǒng)管理功能優(yōu)化

(13) 外匯資金管理系統(tǒng)和報(bào)價(jià)引擎系統(tǒng)優(yōu)化 2024 年優(yōu)化項(xiàng)目

(14) 外匯資金管理系統(tǒng)和報(bào)價(jià)引擎系統(tǒng)配套衍生品改造

二期項(xiàng)目

(15) 信貸業(yè)務(wù)管理系統(tǒng)貸后管理優(yōu)化

(16) 信貸業(yè)務(wù)管理系統(tǒng)優(yōu)化(2024)

(17) 銀企互聯(lián)服務(wù)平臺(tái)客戶服務(wù)優(yōu)化

(18) 銀企互聯(lián)服務(wù)平臺(tái)優(yōu)化

(19) 運(yùn)營全國大集中系統(tǒng) 2024 年優(yōu)化項(xiàng)目

(20) 運(yùn)營全國大集中優(yōu)化

8

(21) 債券管理系統(tǒng) AI 助手優(yōu)化

(22) 債券管理系統(tǒng)優(yōu)化(2024)

(23) 支付平臺(tái)架構(gòu)轉(zhuǎn)型

(24) 智能支付平臺(tái)優(yōu)化

(25) 資金交易系統(tǒng)流程模式優(yōu)化

(26) 資金交易系統(tǒng)優(yōu)化(2024)

(27) 綜合前端架構(gòu)轉(zhuǎn)型

(28) 綜合前端系統(tǒng)業(yè)務(wù)場景聚合優(yōu)化

(29) 綜合前端系統(tǒng)優(yōu)化(2024)

(30) 安全加密平臺(tái)技術(shù)升級(jí)

(31) 分布式服務(wù)框架建設(shè)項(xiàng)目

(32) 分布式服務(wù)框架優(yōu)化

(33) 互聯(lián)網(wǎng)文件傳輸平臺(tái)建設(shè)

(34) 開放式接入平臺(tái)信創(chuàng)改造項(xiàng)目

(35) 開放式接入平臺(tái)優(yōu)化

(36) 渠道客戶郵件服務(wù)建設(shè)

(37) 信貸管理系統(tǒng)技術(shù)升級(jí)項(xiàng)目

3、其他工作事項(xiàng)以農(nóng)發(fā)行測試經(jīng)理在項(xiàng)目實(shí)施過程的實(shí)際

要求為準(zhǔn)。

4、以上工作內(nèi)容為計(jì)劃內(nèi)容，實(shí)際執(zhí)行時(shí)將根據(jù)執(zhí)行情況

進(jìn)行優(yōu)化和調(diào)整。

9

(三)項(xiàng)目人員、團(tuán)隊(duì)要求

1.項(xiàng)目人員要求

(1)外包服務(wù)商現(xiàn)場人員必須由本單位的安全測試服務(wù)人

員組成，人員入場需提供合同復(fù)印件、社保證明。

(2)外包服務(wù)商需派遣 1 名具有安全測試專業(yè)知識(shí)的高級(jí)

安全測試工程師兼任本項(xiàng)目的項(xiàng)目經(jīng)理，除日常項(xiàng)目安全測試執(zhí)

行外，還需要負(fù)責(zé)項(xiàng)目資源協(xié)調(diào)和各項(xiàng)統(tǒng)籌工作，監(jiān)督各項(xiàng)目執(zhí)

行情況。

(3)外包服務(wù)商根據(jù)服務(wù)需求，按需提供符合以下類型資

質(zhì)的駐場人員：

人員類型 資質(zhì)要求

1、大學(xué)本科及以上學(xué)歷。

2、具有 8 年以上安全測試服務(wù)項(xiàng)目經(jīng)驗(yàn)。

高級(jí)安全測 3、具有 CISSP 或 OSCP 認(rèn)證。

試工程師 4、熟悉滲透測試步驟、漏洞挖掘方法、流程和管

理辦法，熟悉多種安全工具的工作原理，有深入的

漏洞挖掘和分析能力。

1、大學(xué)本科及以上學(xué)歷。

2、具有 5 年以上的安全測試服務(wù)項(xiàng)目經(jīng)驗(yàn)。

中級(jí)安全測

3、具有 CISP-PTE 或者漏洞挖掘證書。

試工程師

4、熟悉滲透測試步驟，方法，流程，熟練使用安

全測試工具，熟悉 OWASP 漏洞原理，有漏洞挖掘和

10

分析能力。

1、具有 3 年以上的安全測試服務(wù)項(xiàng)目經(jīng)驗(yàn)。

初級(jí)安全測 2、熟悉滲透測試步驟，方法，流程，熟練使用安

試工程師 全測試工具，熟悉 OWASP 漏洞原理，有漏洞挖掘和分析能力。

2.團(tuán)隊(duì)要求

(1)外包服務(wù)商需保證項(xiàng)目團(tuán)隊(duì)人員穩(wěn)定，全程駐場。

(2)外包服務(wù)商的本項(xiàng)目負(fù)責(zé)人應(yīng)深度參與本項(xiàng)目，并建

立常態(tài)化聯(lián)絡(luò)機(jī)制，解決項(xiàng)目建設(shè)過程中遇到的問題。

(3)原則上不允許更換項(xiàng)目人員，若更換人員必須書面征

得招標(biāo)方同意，且更換的人員必須具有同等級(jí)別和實(shí)施經(jīng)驗(yàn)，并

且做好項(xiàng)目交接和資料回收工作。

(四)售后服務(wù)要求

外包服務(wù)商需根據(jù)農(nóng)發(fā)行項(xiàng)目需求提供相關(guān)售后服務(wù)，內(nèi)容

如下：

1、在項(xiàng)目投產(chǎn) 6 個(gè)月內(nèi)，外包服務(wù)商免費(fèi)提供本項(xiàng)目相關(guān)

系統(tǒng)的技術(shù)支持人員，支持方式包括現(xiàn)場和遠(yuǎn)程。

2、在項(xiàng)目投產(chǎn) 6 個(gè)月內(nèi)，如發(fā)生生產(chǎn)安全缺陷，外包服務(wù)

商需免費(fèi)提供人員進(jìn)行漏洞修復(fù)支持和復(fù)測。

3、外包服務(wù)商提供 7*24 小時(shí)應(yīng)急反應(yīng)機(jī)制。

4、外包服務(wù)商提供 7*24 小時(shí)技術(shù)咨詢服務(wù)。

11

(五)驗(yàn)收方式

1、外包服務(wù)商需已執(zhí)行完所有測試用例，且出具安全測試

報(bào)告。

2、所有過程資產(chǎn)評(píng)審?fù)ㄟ^且已歸檔。

3、外包服務(wù)商交付的項(xiàng)目必須通過農(nóng)發(fā)行上線前安全驗(yàn)收

測試。

(六)知識(shí)遷移及培訓(xùn)要求

1、外包服務(wù)商根據(jù)農(nóng)發(fā)行項(xiàng)目需求在項(xiàng)目過程提供專家支

持。

2、外包服務(wù)商在項(xiàng)目實(shí)施階段，通過培訓(xùn)方式，確保本項(xiàng)

目工作內(nèi)容所涉及技術(shù)和業(yè)務(wù)知識(shí)無條件轉(zhuǎn)移給農(nóng)發(fā)行，包括但

不限于：

1)外包服務(wù)商根據(jù)農(nóng)發(fā)行需求，在服務(wù)過程中提供 CISP 和

CISSP 認(rèn)證培訓(xùn)，為農(nóng)發(fā)行人員通過認(rèn)證考試提供專家支持。

2)培訓(xùn)課程及時(shí)間表。

3)外包服務(wù)商需保證經(jīng)過培訓(xùn)后的農(nóng)發(fā)行人員必須達(dá)到技

術(shù)及業(yè)務(wù)所需要求的水平。

4)對(duì)于所有培訓(xùn)，外包服務(wù)商必須派出具有相應(yīng)專業(yè)資格

和實(shí)際工作、培訓(xùn)經(jīng)驗(yàn)的講師進(jìn)行培訓(xùn)。

講師至少具備五年及以

上工作經(jīng)驗(yàn)或一年以上培訓(xùn)經(jīng)驗(yàn)，講師需經(jīng)過農(nóng)發(fā)行審核通過后

才可安排培訓(xùn)。

12

(七)漏洞定級(jí)標(biāo)準(zhǔn)

漏洞等級(jí) 判定條件

超危漏洞：是指可以非常容易對(duì)目標(biāo)對(duì)象造成嚴(yán)

重后果的漏洞，CVE 漏洞風(fēng)險(xiǎn)等級(jí)或者上級(jí)監(jiān)管

部門認(rèn)定漏洞風(fēng)險(xiǎn)等級(jí)為超危的漏洞。

包括：

1、可遠(yuǎn)程利用并能直接獲取系統(tǒng)權(quán)限(服務(wù)器權(quán)

限、客戶端權(quán)限)的漏洞。

包括但不限于遠(yuǎn)程命

令執(zhí)行、任意代碼執(zhí)行、WebShell 上傳并可執(zhí)行、

前臺(tái) SQL 注入(若使用提供的后臺(tái)賬號(hào)進(jìn)行測試，超危漏洞

則算前臺(tái) SQL 注入)、重要產(chǎn)品客戶端緩沖區(qū)溢

出、其他命令執(zhí)行類漏洞。

2、導(dǎo)致嚴(yán)重級(jí)別的信息泄露的漏洞。

包括但不限

于涉及用戶信息或交易信息的 SQL 注入、可批量

獲取用戶身份信息、交易信息、銀行卡信息等接

口問題引起的敏感信息泄露等。

高危漏洞：是指可以容易對(duì)目標(biāo)對(duì)象造成嚴(yán)重后

果的漏洞，CVE 漏洞風(fēng)險(xiǎn)等級(jí)或者上級(jí)監(jiān)管部門

認(rèn)定漏洞風(fēng)險(xiǎn)等級(jí)為高危的漏洞。

包括：

高危漏洞

1、嚴(yán)重邏輯漏洞或流程設(shè)計(jì)缺陷。

包括但不限于

任意修改賬戶資金信息、越權(quán)修改用戶信息、修

改業(yè)務(wù)配置等。

13

2、直接導(dǎo)致系統(tǒng)拒絕服務(wù)的漏洞。

包括但不限于

Web 應(yīng)用拒絕服務(wù)、各 API 業(yè)務(wù)拒絕服務(wù)、任意

刪除 war 包等影響嚴(yán)重的遠(yuǎn)程拒絕服務(wù)漏洞。

3、文件類漏洞。

包括但不限于任意文件包含、任

意文件讀取等。

4、非授權(quán)訪問。

包括但不限于繞過認(rèn)證直接訪問

管理后臺(tái)、可直接獲取大量內(nèi)網(wǎng)敏感信息的 SSRF

等。

中危漏洞：可以對(duì)目標(biāo)對(duì)象造成一般后果，或者

比較困難地對(duì)目標(biāo)造成嚴(yán)重后果，CVE 漏洞風(fēng)險(xiǎn)

等級(jí)或者上級(jí)監(jiān)管部門認(rèn)定漏洞風(fēng)險(xiǎn)等級(jí)為中危

的漏洞。

包括：

1、需要交互才能產(chǎn)生影響的漏洞，包括但不限于

存儲(chǔ)型 XSS 等。

中危漏洞

2、后臺(tái) SQL 注入漏洞、無回顯或非全部回顯的

SSRF 漏洞、權(quán)限具有一定限制的管理員弱口令

等。

3、通過脫殼、反編譯獲取 APP 應(yīng)用源碼。

4、短信炸彈。

低危漏洞：對(duì)目標(biāo)對(duì)象造成輕微后果，或者比較

低危漏洞

困難地對(duì)目標(biāo)對(duì)象造成一般嚴(yán)重后果，或者非常

14

困難地對(duì)目標(biāo)對(duì)象造成嚴(yán)重后果的對(duì)象，CVE 漏

洞風(fēng)險(xiǎn)等級(jí)或者上級(jí)監(jiān)管部門認(rèn)定漏洞風(fēng)險(xiǎn)等級(jí)

為低危的漏洞。

包括：

1、難以進(jìn)一步利用的漏洞或只造成輕微影響的漏

洞。

包括但不限于難以利用的 SQL 注入點(diǎn)、反射

型 XSS、DOM 型 XSS、URL 跳轉(zhuǎn)等。

2、輕微信息泄露。

包括但不限 SVN 信息泄露、

phpinfo 等。

3、查詢類操作的 CSRF 漏洞等。

4、靜態(tài)文件目錄遍歷等。

15