“漏洞守护计划”中秋月饼礼盒等你拿

漏洞评级标准严格参考国际组织OWASP漏洞标准来制定，同时会根据用户实际业务和漏洞类型侧重点来进行适当调整。

高危：

1.直接获取核心系统权限的漏洞（服务器、客户端），包括但不限于：

1）任意代码执行； 2）上传获取 Webshell并可执行； 3）SQL 注入获取系统权限； 4）重要系统客户端缓冲区溢出（包括可利用的 ActiveX 缓冲区溢出）； 5）命令执行类漏洞（例如AndroidWebView远程代码执行漏洞）。

2.直接导致核心系统业务拒绝服务的漏洞，包括但不限于：

1）直接导致网站应用拒绝服务的漏洞； 2）造成严重影响的远程拒绝服务漏洞。

3.核心系统的严重敏感信息泄漏，包括但不限于：

1）核心 DB（用户信息、交易信息） 的 SQL 注入； 2）可获取大量用户的身份信息、订单信息、银行卡信息等接口问题引起的敏感信息泄露； 3）通过 SVN 信息泄漏、 Git 信息泄露导致的重要系统源码泄露等。

4.核心系统中严重的逻辑设计缺陷和流程缺陷，包括但不限于：

1）通过业务接口批量发送任意伪造内容的消息； 2）任意账号资金消费或窃取； 3）批量修改任意帐号密码； 4）越权修改其他用户重要信息； 5）进行订单关键操作； 6）重要业务配置修改等较为重要的越权行为漏洞。

5.访问核心系统任意文件的漏洞，包括但不限于：

1）任意文件包含； 2）任意文件读取； 3）任意文件下载； 4）任意文件上传。

6.包含敏感信息的非授权访问，包括但不限于：

1）绕过认证直接访问管理后台； 2）核心系统弱密码； 3）直接获取内网敏感信息SSRF。

中危：

1.需交互方可影响用户的漏洞，包括但不仅限于：

1）一般页面的存储型 XSS。

2.普通越权操作，包括但不限于：

1）越权查看非核心系统的订单信息、记录； 2）影响业务正常运行的Broadcast 消息伪造； 3）Android 组件权限漏洞等。

3.普通信息泄漏，包括但不限于：

1）web 路径遍历； 2）系统路径遍历； 3）业务资料泄露等。

4.普通的逻辑设计缺陷和流程缺陷，包括但不限于：

1）绕过实名认证； 2）绕过验证码等。

5.其他造成中度影响的漏洞，包括但不限于：

1）解析漏洞； 2）目录遍历漏洞； 3）管理后台对外开放等。

低危：

1.轻微信息泄漏，包括但不限于：对非关键业务有一定影响：

1）路径信息泄漏； 2）非核心系统的 SVN 信息泄漏； 3）PHPinfo； 4）异常信息泄露； 5）客户端应用本地 SQL 注入（仅泄漏数据库名称、字段名、 cache 内容） 6）日志打印； 7）配置信息； 8）异常信息等。

2.难以利用但存在安全隐患的漏洞，包括但不限于：

1）较难利用的 SQL 注入点； 2）无法控制内容的短信/邮件炸弹； 3）敏感信息明文传输； 4）固定回话攻击。

3.其他只能造成轻微影响的漏洞，包含但不限于：

1）反射型 XSS（包括反射型 DOM-XSS）； 2）普通 CSRF； 3）URL 跳转漏洞。

忽略：

1.不涉及安全问题的 Bug，包括但不限于：

1）产品功能缺陷； 2）网页乱码； 3）样式混乱； 4）静态文件目录遍历； 5）应用兼容性等问题。

2.无法利用的缺陷，包括但不限于：

1）Self-XSS； 2）无敏感操作的 CSRF； 3）无意义的异常信息泄漏； 4）内网 IP 地址/域名泄漏； 5）需要物理接触用户设备的漏洞； 6）缺失安全Headers并且不能直接造成安全漏洞； 7）无效的SPF或缺失DMARC记录； 8）Cookie没有设置HTTPOnly、secure标志； 9）使用了第三方库（如JQuery等）且该漏洞没有有效的利用方法； 10）BEAST、BREACH、Renegotiation攻击等SSL漏洞。

3.任何无敏感信息的信息泄露，包含但不限于：

1）无敏感信息的 json hijacking、仅有 js、 img 等的打包文件； 2）一般信息的 logcat； 3）包含内网 ip/域名的页面； 4）应用指纹/Banner信息泄露（如PHP、Apache版本）； 5）公开的文件或目录信息泄露（如Robots.txt等）； 6）应用或浏览器使用了“自动填写”或“保存密码”等特性； 7）在没有传输敏感信息的页面中未使用SSL/HSTS； 8）BEAST、BREACH、Renegotiation攻击等SSL漏洞。

4. 无法重现的漏洞，包括但不限于：

1）纯属个人猜测； 2）未经过验证的问题； 3）无实际危害证明的扫描器结果。