博客公告 / YSRC漏洞评分和奖励标准 V1.2

作者: YSRC    发布时间: 2017 五月 11

YSRC漏洞评分及奖励标准

V1.0 2015/12/08 发布第一版

V1.1 2017/03/01 增加应用系数等级;调整积分价值;更新漏洞评分标准

V1.2 2017/05/11 更新漏洞评分标准

---------

根据漏洞危害程度我们将其分为:严重、高、中、低、无五个等级,每个等级分值如下:

- 严重 : 7~10

- 高危 : 5~7

- 中危 : 3~5

- 低危 : 1~3

- 无  : 0

根据具体影响域我们分为:核心、一般、边缘三个层面,对应系数点如下:

- 核心业务 : 15

- 一般业务 : 10

- 边缘业务 : 3

【严重】分值范围 7-10 * 应用系数等级(若影响过于严重,则积分 * 2)

1)直接获取权限的漏洞。包括但不限于远程任意命令执行、GetShell、线下线上进入内网;

2)直接导致严重的信息泄漏漏洞;

3)直接导致严重影响的逻辑漏洞;

【高危】分值范围 5~7 * 应用系数等级

1)较易触发的存储型 XSS 漏洞、可实际利用的 SQL 注入漏洞;

2)越权访问,包括但不限于越权操作其他用户账户,越权访问用户信息,敏感后台登录;

3)高风险的信息泄漏漏洞,可批量获取的敏感数据泄漏;

4)可对主会员库进行无限制的登录尝试;

5)可以获得回显信息的SSRF;

【中危】分值范围 3-5 * 应用系数等级

1)存储型 XSS、SQL 注入;

2)无法获得回显信息的SSRF;

3)含敏感信息的信息泄漏漏洞;

4)未公开的威胁情报,包括但不限于拖库,有严重影响的刷单行为;

【低危】分值范围 1-3 * 标准系数 3

1)需交互才能操作或获取用户身份信息的漏洞;

2)轻微信息泄漏漏洞,包括但不限于路径泄漏、有实际影响的测试页面等;

3)无法规模化利用的用户信息泄漏漏洞;

5)反射型 XSS 漏洞;

6)难以利用但又可能存在安全隐患的问题,思路新颖可加分;

7)第三方供应商、供应链导致的用户信息泄漏,如下单后收到诈骗电话短信等;

8)网上已公开的威胁情报;

【无】分值范围 0

1)无关安全的bug;

2)无实际影响的扫描器报告;

3)无实际影响的 self xss、CSRF等漏洞;

4)无实际意义的源码泄漏;

【漏洞认定原则】

1)评分标准仅做为参考,最终评分根据漏洞实际危害程度进行调整;

2)通用型漏洞、同一安全隐患引起的多个问题计数为一个;

3)被重复提交的同一问题,认定第一个报告者为有效报告者;

4)一洞多投不计分;

5)以安全测试为借口,利用漏洞进行损害用户利益、影响业务正常运作、修复前未授权公开、盗取用户数据等行为的,将不计分,同时同程保留采取追究法律责任的权利。

【积分兑换】

1 积分等值人民币 10 元,可兑换同程安全应急响应中心积分商城所有商品。