admin管理员组

文章数量:1531405

2024年5月21日发(作者:)

某知名公司安全应急响应中心漏洞评分标准V3.1正式发布

主要针对以下三方面作出微调

1、业务系数说明

2、安全漏洞评级标准

3、个人季度奖励

业务系数说明

某知名公司SRC以业务相关性为依据,将此系数划分为三个等级:核心应用、一般应用、边缘应

用。

【核心应用】:承载某知名公司核心业务的系统,包括但不限于快递超市、快递管家、掌某知

名公司、某知名公司快递小程序等。

【一般应用】:承载某知名公司非核心业务的系统,包括但不限于某知名公司快递官网、兔喜

快递柜、在线客服系统等。

【边缘应用】:一般业务中的非核心业务,包含但不限于某知名公司快递第三方供应商提供的系

统、子公司系统、网点自建系统(网点自建系统仅收包含用户敏感信息泄露相关漏洞)等。

安全漏洞评级标准

根据漏洞的危害程度将漏洞等级分为【严重】、【高】、【中】、【低】、【无】五个等级。由

ZSRC结合利用场景中漏洞的严重程度及利用难度等综合因素给予相应漏洞等级,每种等级包含

的评分标准及漏洞类型如下:

1、严重漏洞

(1)直接获取系统权限(服务器权限、客户端权限)的漏洞。包括但不限于远程命令执行、代

码执行、任意文件上传获取Webshell、缓冲区溢出、SQL注入获取系统权限等;

(2)严重级别的敏感信息泄露。包括但不限于核心DB(身份、交易相关)的 SQL 注入,可获

取大量用户的身份信息、订单信息等接口问题引起的敏感信息泄露。(能泄露敏感信息三元组(姓

名、联系方式、地址)三个月内数据200w以上,单一敏感数据800w以上);

(3)涉及支付相关漏洞包括但不限于:严重的逻辑错误、能够大量获取利益造成公司、用户损

失的漏洞

(4)生产业务系统严重的逻辑设计缺陷和流程缺陷。包括但不仅限于任意账号登录、任意账号

密码修改、任意账号资金消费、交易支付方面严重的问题等。

2、高危漏洞

(1)重要敏感信息泄露。包括但不仅限于非核心DB的SQL 注入、重要源代码压缩包泄漏、可

直接利用的敏感数据泄露等;

(2)敏感信息越权访问,包括但不仅限于绕过认证直接访问管理后台、后台弱密码、任意订单

查看、任意用户敏感信息访问、支持多种协议可获取大量内网敏感信息的 SSRF 等;

(3)直接获取移动客户端权限。包括但不仅限于远程命令执行、任意代码执行等;

(4)越权敏感操作。包括但不仅限于账号越权修改重要信息、进行订单普通操作、重要业务配

置修改、查看敏感数据等较为重要的越权行为(能泄露敏感信息三元组(姓名、联系方式、地址)

三个月内数据20w以上,单一敏感数据100w以上);

(5)大范围影响用户的其他漏洞。包括但不仅限于可造成自动传播的存储型XSS和涉及交易、

资金、密码的CSRF等。

3、中危漏洞

(1)需交互方可影响用户的漏洞。包括但不仅限于存储型XSS、CSRF等;

(2)普通信息泄漏。包括但不仅限于未涉及敏感数据的SQL注入,数据量有限且敏感程度有限

的越权、数据量有限的内部服务器(无法登录证明)账号密码泄露、邮箱账号密码泄露等;

(3)普通的内网SSRF;

(4)普通越权操作,包括但不仅限于未经严格校验的取消订单功能、越权删除地址、不安全的

直接对象引用,一般业务系统的越权行为等;

4、低危漏洞

(1)信息泄露。包括但不仅限于SVN 信息泄漏、phpinfo、本地日志等;

(2)存在安全隐患,但利用难度较大的漏洞。包括但不仅限于难以利用的 SQL注入点、可引起

传播和利用的Self-XSS、需构造部分参数且有一定影响的CSRF、需要用户连续交互的敏感安全

漏洞等;

(3)URL跳转等一般风险、危害较小的安全问题;

(4)非重要账号体系的撞库、爆破等问题;

(5)只在特定情况之下才能获取用户信息的漏洞,包括但不限于反射XSS。

5、无影响

(1)不涉及安全问题的Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件

目录遍历、应用兼容性等问题;

(2)无法利用的漏洞。包括但不仅限于 Self-XSS、无敏感操作的CSRF、无意义的异常信息泄

漏、内网IP 地址/域名泄漏;

(3)无法重现的漏洞。包括但不仅限于纯属用户猜测、未经过验证的问题、无法实际危害证明

的扫描器结果;

(4)非接收范围内的漏洞,如非某知名公司业务/已解除商务合作关系的安全漏洞;

(5)内部已知、正在处理的漏洞。包括但不限于如Discuz等已在其他平台公开通用的,白帽子、

内部已发现的漏洞。

个人季度奖励

奖励细则:

ZSRC

个人季度奖励规则

等级 TOP 3

>36

N1

300

TOP 2

>45

N2

500

TOP 1

N60

N3

1000

评 定

要 求

季度贡献值

高危及以上漏洞数量

(非边缘系统)

积分奖励

其他奖励 定制荣誉证书

定制荣誉证书 定制荣誉证书

本文标签: 漏洞包括限于信息

版权声明:本文标题:某知名公司安全应急响应中心漏洞评分标准V3 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dongtai/1716305959a496851.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。