博客公告 / YSRC漏洞评分和奖励标准 V1.0

作者: YSRC    发布时间: 2015 十二月 08

根据漏洞危害程度分为严重、高、中、低、无五个等级:

 

【严重】

分值范围9-10

1)直接获取权限的漏洞。包括但不限于远程任意命令执行、核心业务上传 webshell、线下线上进入内网;

2)直接导致严重的信息泄漏漏洞。包括但不限于核心业务的SQL 注入漏洞;

3)直接导致严重影响的核心业务逻辑漏洞,威胁情报。包括但不限于大量用户信息泄漏,支付逻辑漏洞。

 

【高】

分值范围6-8

1)重要业务的存储型 XSS 漏洞、普通站点的 SQL 注入漏洞,边缘业务GetShell;

2)越权访问。包括但不限于越权操作其他用户账户,越权访问其他用户信息,敏感管理后台登录;

3)高风险的信息泄漏漏洞。包括但不限于重要业务可撞库,(撞库爆破类漏洞请提供撞成功的帐号,否则按低级别评分。)可批量获取的敏感数据泄漏,后台信息泄漏。

 

【中】

分值范围3-5

1)需交互才能获取用户身份信息的漏洞。包括但不限于JSON劫持、重要敏感操作的 CSRF、普通业务的存储型 XSS;

2)普通业务的存储型 XSS 漏洞、边缘站点的 SQL 注入漏洞,无法绕过过滤获取数据但是确实存在的SQL 注入漏洞;

3)无法规模化利用的用户信息泄漏漏洞。

4)含敏感信息的源码信息泄漏。

5)未公开的威胁情报,包括但不限于拖库,有严重影响的刷单行为。

 

 

【低】

分值范围 0.5-2

1)  轻微信息泄漏漏洞,包括但不限于路径泄漏、有实际影响的测试页面等;

2)  无法进一步利用的SSRF漏洞;

3)  有实际影响的反射型XSS;

4)  难以利用但又可能存在安全隐患的问题,思路新颖可加分;

5)  第三方供应商、供应链导致的用户信息泄漏,如下单后收到诈骗电话短信等,我们会一查到底。

6)  网上已公开的威胁情报

 

【无】

分值范围 0

1)  无关安全的bug

2)  无实际影响的扫描器报告

3)  无实际影响的self xss、反射型xss、CSRF

4)  无意义的源码泄漏

 

【漏洞认定原则】

1)通用型漏洞、同一安全隐患引起的多个问题计数为一个;

2)被重复提交的同一问题,认定第一个报告者为有效报告者;

3)一洞多投不计分;

6)以安全测试为借口,利用漏洞进行损害用户利益、影响业务正常运作、修复前未授权公开、盗取用户数据等行为的,将不计分,同时同程保留采取追究法律责任的权利。

 

【积分兑换】

1积分等值人民币200元,可兑换等值京东、天猫、亚马逊等礼品卡。