| 公告标题 | 发布时间 |
|---|---|
| 云众可信平台网站升级公告 | 2022-05-17 |
| 云众可信平台网站升级公告 | 2022-01-14 |
| 云众可信平台国庆假期漏洞停审公告 | 2021-09-30 |
| 2019年第一期云众可信A计划领袖名单公布 | 2019-06-24 |
| 云众可信征稿进行时 | 2019-04-29 |
| “云众A计划”正式上线 | 2019-04-26 |
| 关于云众可信平台春节假期业务安排通知 | 2019-01-28 |
| 云众可信平台信誉值系统上线 | 2018-10-30 |
| 中秋节中奖名单新鲜出炉 | 2018-09-17 |
| “漏洞守护计划”中秋月饼礼盒等你拿 | 2018-09-04 |
| 云众企业赋能计划开始啦 | 2018-09-04 |
| 漏洞守护计划·萌新训练开启 | 2018-06-04 |
| 云众漏洞守护计划上线 | 2018-05-30 |
暂无数据
漏洞等级评定规则与参考
高危
分值范围:12.0 ~ 15.0
中危
分值范围:8.0 ~ 11.9
低危
分值范围:5.0 ~ 7.9
漏洞提交说明:
1.漏洞提交方式采用可信众测平台方式,通过接收时间先后判断同一漏洞的归属。
2.由低危、中危漏洞组合利用,发展成为高危漏洞,按高危漏洞判定。
3.当同一漏洞问题被多位白帽子同时发现并提交时,将首先确认该漏洞是否属于同一问题,必要时将组织三方人员进行共同确认,确认是同一漏洞时将通过平台接收时间判定漏洞归属。
4.所有漏洞需提供相关域名或详细URL、POC代码、截图或视频等,经过审核切实可利用并造成相应危害方可通过;提交漏洞报告的规范性可能会影响最终评分。
5.可信众测期间,行业或官方发布的0day漏洞在用户的应急期(五个工作日)之内,如在可信众测平台提交该漏洞,不会将其视为高危漏洞;在用户应急期过后,此类问题如果继续被发现,将认可该漏洞为高危漏洞。
同一漏洞的判别:
1.同一个漏洞源产生的多个漏洞计漏洞数量为一个,例如:同一个系统中的多个XSS漏洞、底层框架导致的整站平行权限和存储型XSS漏洞、同一个系统、同一url多个参数SQL注入或其他漏洞的相同问题等;
2.相同业务的同一个功能处的查询、添加、编辑、删除等操作都出现同类型漏洞(例如平行权限)时,按同一漏洞处理,若提交多个漏洞,第一个漏洞正常评分,相似漏洞合并或者忽略处理;
危害性(Damage):默认40%
重现性(Reproducibility):默认10%
受影响用户量(Affected users):默认30%
可修复性(Fixed):默认10%
可发现性(Discoverability):默认10%
漏洞评级标准严格参考国际组织OWASP漏洞标准来制定,同时会根据用户实际业务和漏洞类型侧重点来进行适当调整。
高危:
1.直接获取核心系统权限的漏洞(服务器、客户端),包括但不限于:
1)任意代码执行; 2)上传获取 Webshell并可执行; 3)SQL 注入获取系统权限; 4)重要系统客户端缓冲区溢出(包括可利用的 ActiveX 缓冲区溢出); 5)命令执行类漏洞(例如AndroidWebView远程代码执行漏洞)。2.直接导致核心系统业务拒绝服务的漏洞,包括但不限于:
1)直接导致网站应用拒绝服务的漏洞; 2)造成严重影响的远程拒绝服务漏洞。3.核心系统的严重敏感信息泄漏,包括但不限于:
1)核心 DB(用户信息、交易信息) 的 SQL 注入; 2)可获取大量用户的身份信息、订单信息、银行卡信息等接口问题引起的敏感信息泄露; 3)通过 SVN 信息泄漏、 Git 信息泄露导致的重要系统源码泄露等。4.核心系统中严重的逻辑设计缺陷和流程缺陷,包括但不限于:
1)通过业务接口批量发送任意伪造内容的消息; 2)任意账号资金消费或窃取; 3)批量修改任意帐号密码; 4)越权修改其他用户重要信息; 5)进行订单关键操作; 6)重要业务配置修改等较为重要的越权行为漏洞。5.访问核心系统任意文件的漏洞,包括但不限于:
1)任意文件包含; 2)任意文件读取; 3)任意文件下载; 4)任意文件上传。6.包含敏感信息的非授权访问,包括但不限于:
1)绕过认证直接访问管理后台; 2)核心系统弱密码; 3)直接获取内网敏感信息SSRF。中危:
1.需交互方可影响用户的漏洞,包括但不仅限于:
1)一般页面的存储型 XSS。2.普通越权操作,包括但不限于:
1)越权查看非核心系统的订单信息、记录; 2)影响业务正常运行的Broadcast 消息伪造; 3)Android 组件权限漏洞等。3.普通信息泄漏,包括但不限于:
1)web 路径遍历; 2)系统路径遍历; 3)业务资料泄露等。4.普通的逻辑设计缺陷和流程缺陷,包括但不限于:
1)绕过实名认证; 2)绕过验证码等。5.其他造成中度影响的漏洞,包括但不限于:
1)解析漏洞; 2)目录遍历漏洞; 3)管理后台对外开放等。低危:
1.轻微信息泄漏,包括但不限于:对非关键业务有一定影响:
1)路径信息泄漏; 2)非核心系统的 SVN 信息泄漏; 3)PHPinfo; 4)异常信息泄露; 5)客户端应用本地 SQL 注入(仅泄漏数据库名称、字段名、 cache 内容) 6)日志打印; 7)配置信息; 8)异常信息等。2.难以利用但存在安全隐患的漏洞,包括但不限于:
1)较难利用的 SQL 注入点; 2)无法控制内容的短信/邮件炸弹; 3)敏感信息明文传输; 4)固定回话攻击。3.其他只能造成轻微影响的漏洞,包含但不限于:
1)反射型 XSS(包括反射型 DOM-XSS); 2)普通 CSRF; 3)URL 跳转漏洞。忽略:
1.不涉及安全问题的 Bug,包括但不限于:
1)产品功能缺陷; 2)网页乱码; 3)样式混乱; 4)静态文件目录遍历; 5)应用兼容性等问题。2.无法利用的缺陷,包括但不限于:
1)Self-XSS; 2)无敏感操作的 CSRF; 3)无意义的异常信息泄漏; 4)内网 IP 地址/域名泄漏; 5)需要物理接触用户设备的漏洞; 6)缺失安全Headers并且不能直接造成安全漏洞; 7)无效的SPF或缺失DMARC记录; 8)Cookie没有设置HTTPOnly、secure标志; 9)使用了第三方库(如JQuery等)且该漏洞没有有效的利用方法; 10)BEAST、BREACH、Renegotiation攻击等SSL漏洞。3.任何无敏感信息的信息泄露,包含但不限于:
1)无敏感信息的 json hijacking、仅有 js、 img 等的打包文件; 2)一般信息的 logcat; 3)包含内网 ip/域名的页面; 4)应用指纹/Banner信息泄露(如PHP、Apache版本); 5)公开的文件或目录信息泄露(如Robots.txt等); 6)应用或浏览器使用了“自动填写”或“保存密码”等特性; 7)在没有传输敏感信息的页面中未使用SSL/HSTS; 8)BEAST、BREACH、Renegotiation攻击等SSL漏洞。4. 无法重现的漏洞,包括但不限于:
1)纯属个人猜测; 2)未经过验证的问题; 3)无实际危害证明的扫描器结果。