本文介绍漏洞等级说明。
奖励计划说明
建议企业将奖励系数设定为不低于5,以吸引更多的白帽子发现漏洞。
建议企业建立阶梯奖励机制,以鼓励白帽子关注重要漏洞。
漏洞等级说明
根据漏洞的危害程度,漏洞等级被划分为高危、中危和低危三个等级。先知平台依据漏洞在利用场景中的严重程度、利用难度等综合因素,赋予相应的贡献值和漏洞级别。
漏洞等级的评分标准及其对应的漏洞类型如下:
高危
基础分范围为60~100,高危等级漏洞包括:
直接获取系统权限的漏洞(包括服务器权限和PC客户端权限),涵盖但不限于远程命令执行、任意代码执行、Webshell上传获取、通过SQL注入获取系统权限以及缓冲区溢出(包括可利用的ActiveX缓冲区溢出)等类型的漏洞。
直接导致重要业务发生拒绝服务漏洞,包括但不限于直接引发移动网关业务或API业务的拒绝服务、以及网站应用的拒绝服务等,进而造成严重影响的远程拒绝服务漏洞。
重要的敏感信息泄露事件,包括但不限于因重要业务数据库存在SQL注入漏洞以及接口问题导致的大量企业核心业务数据的泄露。
严重的逻辑设计缺陷和流程缺陷,包括但不限于批量修改任意账号密码的漏洞,以及涉及企业核心业务的逻辑漏洞等。
敏感信息的越权访问包括但不限于通过绕过认证直接访问管理后台、利用重要后台的弱密码、以及通过服务器端请求伪造(SSRF)漏洞获取大量内网敏感信息等情况。
企业重要业务的越权敏感操作,包括但不限于账号未经授权修改重要信息、重要业务配置修改等较为重要的越权行为。
大范围影响用户的其他漏洞,包括但不限于能够导致自动传播的重要页面的存储型跨站脚本攻击漏洞(包括存储型DOM-XSS)。
中危
基础分范围为30~50,中危等级漏洞包括:
需交互方可影响用户的漏洞,包括但不限于一般页面的存储型跨站脚本攻击漏洞,以及涉及核心业务的跨站请求伪造(CSRF)漏洞等。
普通越权操作,包括但不限于绕过限制修改用户资料、执行用户操作等。
普通的逻辑设计缺陷和流程缺陷,包括但不限于不限次数的短信发送、任意手机邮箱信息注册等。
低危
基础分范围为10~20,奖励系数可为0,低危等级漏洞包括:
本地拒绝服务漏洞,包括但不限于客户端本地拒绝服务(例如,由解析文件格式和网络协议产生的崩溃),以及由Android组件权限暴露和普通应用权限导致的问题等。
普通信息泄露,包括但不限于客户端明文存储密码,以及Web路径遍历、系统路径遍历漏洞等。
其他危害较低的漏洞,包括但不限于反射型跨站脚本攻击漏洞(包括反射型DOM-XSS)、普通跨站请求伪造(CSRF)、URL跳转漏洞等。