高危
中危
低危
2018.12.18,丁香园安全应急响应中心(DXYSRC)正式上线。丁香园与漏洞盒子平台携手共建互联网安全新生态。
丁香园SRC的建立,旨在联合安全领域的个人以及团队共同发现潜在的安全威胁,让丁香园安全越来越坚固,全方位地保障丁香园用户的权益。
丁香园声明:在漏洞未修复前,我们希望您不要公开和传播。我们承诺:对每一份报告,都会有专门的安全人员进行跟进并及时反馈最新的处理结果,并且我们会按照“漏洞奖励方案”对您的付出表示感谢。利用漏洞损害用户利益、影响业务运营、盗取用户数据、恶意传播漏洞或数据等违法行为,无论是否以测试漏洞为借口,丁香园均将保留追究法律责任的权利。
白帽子提交漏洞前,请仔细阅读以下规则:
丁香园SRC最新漏洞收取规则更新:https://dxysrc.vulbox.com/news/detail-232
丁香园SRC最新漏洞收取规则更新:https://dxysrc.vulbox.com/news/detail-231
丁香园SRC最新漏洞收取规则更新:https://dxysrc.vulbox.com/news/detail-228
丁香园SRC测试注意事项更新:https://dxysrc.vulbox.com/news/detail-184
丁香园SRC最新漏洞收取规则更新:https://www.vulbox.com/news/detail-181
丁香园SRC测试注意事项更新:https://dxysrc.vulbox.com/news/detail-178
丁香园SRC最新漏洞收取规则更新:https://dxysrc.vulbox.com/news/detail-177
DXYSRC漏洞处理流程:https://dxysrc.vulbox.com/news/detail-169
DXYSRC漏洞等级评定标准:https://dxysrc.vulbox.com/news/detail-170
漏洞积分:
DXYSRC漏洞积分默认按照漏洞盒子平台B类厂商计算。非核心业务或边缘系统漏洞将按C类厂商积分计算。具体积分计算详见帮助中心[漏洞盒子积分系统]章节:https://www.vulbox.com/faq#earnSystem
每月白帽子及团队排行依据为白帽子提交DXYSRC漏洞对应积分。提交丁香园漏洞积分同时会计算到漏洞盒子赛季排行中。
项目要求及注意事项
对白帽子测试要求如下:
1)禁止对非授权内的项目进行测试,对授权内项目测试时请注意保密事宜。
2)测试过程不得损害业务正常运行。不得以测试漏洞为借口,利用漏洞进行损害用户利益、影响业务运作、盗取用户数据等行为。
3)禁止进行网络拒绝服务(DoS 或DDoS)测试。
4) 严禁下载源代码。若在不知情情况下下载,应及时告知厂商并删除。
5)测试短信炸弹漏洞时,请填写自己的手机号。严禁对其他用户号码进行轰炸测试。
6)测试SQL注入、越权读取数据类漏洞时,应采取手工注入,且获取的数据量不能超过10组。
7)禁止进行物理测试、社会工程学测试或任何其他非技术漏洞测试。
8)测试验证越权增删查改时,请自行注册两个测试账号进行测试。务必控制测试范围,不得危害系统正常数据。
9)尽量避免访问任何存储在我司信息系统内的数据,除非访问该数据为验证安全漏洞存在的必要步骤。如在本原则允许的测试过程中发现以下信息,请立即停止测试并及时通知丁香园信息安全中心:
a)个人识别信息;
b) 金融信息(信用信息或银行账户号码信息等);
c) 企业的财产信息或商业秘密;
10)禁止在任何情况下泄露漏洞测试过程中所获知的任何数据。
11)在收到我司的明确书面授权之前,禁止公开披露或提供关于我司产品或服务安全漏洞的任何细节信息,不得进行任何漏洞负面炒作和公关。
12)我们反对和谴责一切以漏洞测试为借口,利用安全漏洞进行破坏、损害丁香园系统及用户的利益的攻击行为,我们保留追究法律责任的权利。
提交漏洞请特别注意以下事项,不得影响正常的业务使用:
丁香园SRC测试注意事项更新:https://dxysrc.vulbox.com/news/detail-178
以及丁香园SRC项目主页相关公告:https://dxysrc.vulbox.com/
向【正常医生】发送测试代码测试出来的漏洞业务团队均不承认,处理投诉不易,多谢谅解。
Web:
*.dxy.cn
*.jobmd.cn
dxy.com(不包括子域名)
ask.dxy.com H5入口( ask.dxy.com/index ) (不包括子域名)
mama.dxy.com (测试时用微信内置浏览器打开)(不包括子域名)
以下域名请不要测试:Clinic.dxy.com,如提交此域名漏洞会判定无效。
*.dxcare.cn
获取账号:
自助申请测试账号:在官网https://clinic.dxy.com 提交试用申请信息,诊所名称需要填写“漏洞盒子安全测试-XXX诊所”,其中XXX为自定义名称。
使用说明
诊所端
1、数据维护:新客户登录云管家,维护诊所员工、科室、药品、收费项目、医生排班等基础信息。
2、就诊流程:患者提前预约时间和科室。患者到诊,诊所接诊患者,首先进行登记,登记后护士进行预诊,然后分诊到指定医生。医生接诊,书写病历,开立检查治疗的申请单。实验室人员进行采样检验出具检验报告。医生查看检验结果,开处方及治疗方案。诊所进行收费后,药师在药房给患者发药。就诊完成
3、诊后随访:诊所对患者建立随访计划任务,进行定期随访。
4、诊所可以查看运营数据情况,医生接诊、进销存、收费统计等。
患者端
患者可以通过公众号配置的链接进行预约、查看病历。
前提条件:公众号和诊所号绑定。现在提供的账号没有和公众号绑定。
APP:
丁香医生(app和小程序)
丁香妈妈
下载地址分别是: