公告

首页 > 公告 > 公告详情

点融漏洞评级标准

发布时间: 2016年10月28日

      

公告编号:DSRC-2016-002

公告来源:点融网安全应急响应中心

本评级标准适用于点融网旗下所有产品及业务。将漏洞评级分为四个等级:高危、中危、低危、无。等级评分和范围详情如下:

一、高危:

贡献值:11-20    安全币=贡献值*(8-10) 

1.SQL注入,包括但不限于重要DB的SQL注入,可获取大量敏感信息。

2.严重的逻辑漏洞,包括但不限于支付绕过,任意账号登陆,密码修改等。

3.直接获取核心系统的权限,包括但不限于远程命令执行,上传webshell,缓冲区溢出,SQL注入获取系统权限等。

4.直接导致业务拒绝服务的漏洞,包括但不限于服务和系统中的远程拒绝服务。

5.移动客户端远程命令执行,包括但不限于远程端口连接,文件操作等。

二、中危:

贡献值:5-10    安全币=贡献值*(4-7) 

1. 存储型xss,可以进入后台,重要操作的CSRF。

2.普通越权操作,包括但不限于修改用户信息、进行订单的操作。

3.移动客户端影响业务运行的Broadcast消息伪造。

4.普通站点的SQL注入,可获取少量敏感信息,但不会对系统造成影响。

5.SSRF类型漏洞可探测内网信息等

6.移动客户端跨应用任意文件读写漏洞,造成敏感信息泄露等。

三、低危:

贡献值:1-4    安全币=贡献值*(1-3) 

1.只在特定非流行浏览器环境才能获取用户身份信息的漏洞。包括但不限于反射型XSS(包括反射型 DOM-XSS)、普通业务的存储型XSS等。 

2.轻微信息泄漏漏洞。包括但不限于路径泄漏、SVN文件泄漏、phpinfo、logcat敏感信息泄漏 ,移动客户端明文存储,明文传输。

3.移动客户端本地拒绝服务漏洞。包括但不限于组件权限导致的本地拒绝服务漏洞。 

4.URL跳转漏洞 

5.难以利用但又可能存在安全隐患的问题。非重要的敏感操作CSRF以及需借助中间人攻击的远程代码执行漏洞并提供了有效 POC。

6.无限制短信接口,可存在暴力破解的接口。

四、无效

贡献值:0    无安全币

1.无法利用的漏洞,比如Self-XSS,无敏感操作的CSRF与无敏感信息泄露的JSON Hijacking,无安全意义的信息泄露,包括源码泄露内网IP地址泄露。无敏感 信息的logcat信息泄露,401基础认证钓鱼。

2.无关安全的bug,包括但不限于功能无法使用,轻微的路径泄露。

漏洞认定原则:

  1. 1、同一漏洞多次被提交时,只为首位提报人提供积分评定,其他报告者提交的漏洞被视为无效漏洞。
  2. 2、通用型漏洞、同一漏洞引起的多个问题计数为1个。
  3. 3、在漏洞未修复前被公开的漏洞不计入评分范围。
  4. 4、已在网上公开或内部发现的漏洞不计入评定范围。