本文介绍漏洞等级说明。

奖励计划说明

  • 建议企业奖励系数不低于5,吸引更多的白帽子发现漏洞。
  • 建议企业设置阶梯奖励系数,鼓励白帽子关注重要漏洞。
例如,您可以设置如下奖励计划:

漏洞等级说明

根据漏洞的危害程度将漏洞等级分为高危中危低危三个等级。由先知平台结合利用场景中漏洞的严重程度、利用难度等综合因素,给予相应的贡献值和漏洞级别。

漏洞等级的评分标准及漏洞类型如下:

  • 高危

    基础分60-100,高危等级漏洞包括:
    • 直接获取系统权限的漏洞(服务器权限、PC 客户端权限),包括但不限于远程命令执行、任意代码执行、上传获取Webshell、SQL 注入获取系统权限、缓冲区溢出(包括可利用的ActiveX缓冲区溢出)等漏洞。
    • 直接导致重要业务出现拒绝服务的漏洞,包括但不限于直接导致移动网关业务或API业务拒绝服务、网站应用拒绝服务等造成严重影响的远程拒绝服务漏洞。
    • 重要的敏感信息泄漏,包括但不限于重要业务数据库的SQL注入漏洞、可获取大量企业核心业务数据等接口问题引起的敏感信息泄露。
    • 严重的逻辑设计缺陷和流程缺陷,包括但不限于批量修改任意账号密码漏洞、涉及企业核心业务的逻辑漏洞等。
    • 敏感信息越权访问,包括但不限于绕过认证直接访问管理后台、重要后台弱密码、获取大量内网敏感信息的服务器端请求伪造(SSRF)漏洞等。
    • 企业重要业务越权敏感操作,包括但不限于账号越权修改重要信息、重要业务配置修改等较为重要的越权行为。
    • 大范围影响用户的其他漏洞,包括但不限于可造成自动传播的重要页面的存储型跨站脚本攻击漏洞(包括存储型 DOM-XSS)。
  • 中危

    基础分30-50,中危等级漏洞包括:
    • 需交互方可影响用户的漏洞,包括但不限于一般页面的存储型跨站脚本攻击漏洞,涉及核心业务的跨站请求伪造(CSRF)漏洞等。
    • 普通越权操作,包括但不限于绕过限制修改用户资料、执行用户操作等。
    • 普通的逻辑设计缺陷和流程缺陷,包括但不限于不限次数的短信发送、任意手机邮箱信息注册等。
  • 低危

    基础分10-20,奖励系数可为0,低危等级漏洞包括:
    • 本地拒绝服务漏洞,包括但不限于客户端本地拒绝服务(解析文件格式、网络协议产生的崩溃),以及由Android组件权限暴露、普通应用权限引起的问题等。
    • 普通信息泄漏,包括但不限于客户端明文存储密码、以及web路径遍历、系统路径遍历漏洞等。
    • 其他危害较低的漏洞,包括但不限于反射型跨站脚本攻击漏洞(包括反射型DOM-XSS)、普通跨站请求伪造(CSRF)、URL跳转漏洞等。