千米网安全应急响应中心

logo

平台公告>查看公告

漏洞评分标准

2016-05-06 11:17:25


本标准自201661日起执行


积分计算方法

积分由漏洞对应用的危害程度以及应用的重要程度决定:积分=基础积分 * 应用系数。积分将用于礼品兑换。

 

应用系数/积分                

高危漏洞(20-40)

中危漏洞(4-10)

低危漏洞(1-2)

核心应用(5)                

100-200                

20-50                

5-10                

一般应用(1)                

 20-40                

4-10                

1-2                





漏洞等级

根据漏洞的危害程度将漏洞等级分为【高】、【中】、【低】、【无】四个等级。基础积分最高为40 QMSRC结合利用场景中

漏洞的严重程度、利用难度等综合因素给予相应分值的漏洞定级,每种等级包含的评分标准及漏洞类型如下:

【高危】

基础积分【20~40】,本等级包括:

1、直接获取核心系统权限的漏洞(服务器权限)。包括但不限于远程命令执行、任意代码执行、上传获取WebshellSQL注入获取系统权限、缓冲区溢出。

2、直接导致业务拒绝服务的漏洞。包括但不限于直接导致移动网关业务API业务拒绝服务、网站应用拒绝服务等造成严重影响的远程拒绝服务漏洞。

3、严重的敏感信息泄漏。包括但不限于核心 DB(资金、身份、交易相关) SQL 注入,可获取大量核心用户的身份信息、订单信息、银行卡信息等接口问题引起的敏感信息泄露。

4、严重的逻辑设计缺陷和流程缺陷。包括但不限于通过业务接口批量发送任意伪造消息、任意账号资金消费、批量修改任意帐号密码漏洞。

【中危】

基础积分【5~10】,本等级包括:

1、敏感信息泄漏。包括但不仅限于非核心DB SQL注入、源代码压缩包泄漏、服务器应用加密可逆或明文、移动API访问摘要、硬编码等问题引起的敏感信息泄露。

2、敏感信息越权访问。包括但不仅限于绕过认证直接访问管理后台、后台弱密码、获取大量内网敏感信息的SSRF

3、直接获取系统权限的漏洞(移动客户端权限)。包括但不仅限于远程命令执行、任意代码执行。

4、越权敏感操作。包括但不仅限于账号越权修改重要信息、进行订单普通操作、重要业务配置修改等较为重要的越权行为。

5、大范围影响用户的其他漏洞。包括但不仅限于可造成自动传播的重要页面的存储型XSS(包括存储型DOM-XSS)和涉及交易、资金、密码、店铺的CSRF

低危

基础积分【1~2】,本等级包括:

1、需交互方可影响用户的漏洞。包括但不仅限于一般页面的存储型XSS、反射型 XSS(包括反射型 DOM-XSS)、普通CSRFURL跳转漏洞。

2、普通越权操作。包括但不仅限于不正确的直接对象引用。影响业务运行的Broadcast消息伪造等Android组件权限漏洞等。

3、普通信息泄漏。包括但不仅限于客户端明文存储密码、客户端密码明文传输以及web路径遍历、系统路径遍历。

4、普通的逻辑设计缺陷和流程缺陷。

5、本地拒绝服务漏洞。包括但不仅限于客户端本地拒绝服务(解析文件格式、网络协议产生的崩溃),由Android组件权限暴露、普通应用权限引起的问题等。

6、轻微信息泄漏。包括但不仅限于路径信息泄漏、SVN信息泄漏、PHPinfo、异常信息泄露、日志打印、配置信息、异常信息等。

7、难以利用但存在安全隐患的漏洞。包括但不仅限于难以利用的SQL注入点、可引起传播和利用的Self-XSS、需构造部分参数且有一定影响的CSRF

基础积分【0】,本等级包括:

1、不涉及安全问题的 Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性等问题。

2、无法利用的漏洞。包括但不仅限于Self-XSS、无敏感操作的 CSRF、无意义的异常信息泄漏、内网 IP 地址/域名泄漏。

3、不能直接反映漏洞存在的其他问题。包括但不仅限于纯属用户猜测的问题。


应用系数

根据应用的重要程度将应用等级分为【核心应用】、【一般应用】、【边缘应用】。

Web应用】

1、核心应用系数为5,定义为:核心业务涉及会员、资金、交易的应用;

2、一般应用系数为1,定义为:核心业务中不涉及会员、资金、交易的应用,以及由千米网使用第三方软件搭建的社区,博客等应用;

核心业务: 云分销,云采购,云商城,云小店,全员开店;

一般业务:千米官网商家社区(暂不包含),以及用于测试及展示的应用等;


【移动客户端应用】

1、核心应用系数为5,定义为:千米,销售助手等千米核心业务的移动客户端应用;

2、一般应用系数为1,目前暂无;



评分标准通用原则

1、评分标准仅适用于千米网网站及业务系统。与千米网完全无关的漏洞,不计积分。

2、第三方产品的漏洞只给第一个提交者计积分,最高不超过50积分,等级不高于【中】,且不保证修复时长,包括但不于千米网正在使用的discuzWordPressFlash插件以及Apache等服务端相关组件、OpenSSLbash、第三方SDK等;不同版本的同一处漏洞视为相同漏洞。

3、同一个漏洞源产生的多个漏洞计漏洞数量为一。例如 PHPwind 的安全漏洞、同一个 JS 引起的多个安全漏洞、同一个发布系统引起的多个页面的安全漏洞、框架导致的整站的安全漏洞、泛域名解析产生的多个安全漏洞等。

4、同一漏洞,首位报告者计积分,其他报告者均不计。

5、在漏洞未修复之前,被公开的漏洞不计分。

6、报告网上已公开的漏洞不计分。

7、以测试漏洞为借口,利用漏洞进行损害用户利益、影响业务运作、盗取用户数据等行为的,将不会计积分,同时千米网保留采取进一步法律行动的权利。


争议解决办法

在漏洞报告处理过程中,如果报告者对流程处理、漏洞定级、漏洞评分等有异议的,可以通过漏洞详情页面的留言板或者通过即时通讯联系在线工作人员及时沟通。 QMSRC将按照漏洞报告者利益优先的原则处理,必要时可引入外部安全人士共同裁定。