公告详情

<<返回

【SSRC-2016-0516】漏洞评分标准


【SSRC-2016-0516】漏洞评分标准

公告编号:SSRC-2016-0516

公告来源:新浪网安全应急响应中心

公告时间:2016-05-16

公告内容:

详细的漏洞评分标准

根据漏洞的危害程序共分为五个级别:严重、高、中、低、忽略,下面描述了安全漏洞的详细评分标准:


【严重】

分值范围 5-20,金币系数 10。本等级包括:

1)      严重的敏感信息泄露,包括但不限于可以获取重要数据的 SQL 注入漏洞(如用户帐号密码)、源代码泄露以及任意文件读取和下载漏洞(如包含重要服务口令)等;

2)      严重的逻辑漏洞,包括但不限于任意账号登陆、任意账号密码修改、支付绕过漏洞、以任意人身份敏感操作等;

3)      远程直接获取系统权限的漏洞(服务端和客户端),包括但不限于远程任意命令执行、代码执行、任意文件上传获取 webshell、缓冲区溢出、SQL注入获取系统权限等;

4)      远程直接导致业务拒绝服务的漏洞,包括但不限于服务和系统中的远程拒绝服务攻击漏洞;



【高】

分值范围 5-10,金币系数 5。本等级包括:

1)      高风险的信息泄露,包括但不限于可以获取一般数据的 SQL 注入漏洞、源代码泄露以及任意文件读取和下载漏洞等;

2)      越权访问,包括但不限于绕过验证直接访问后台、后台登录弱口令、以及其他服务的弱口令等;

3)    可结合其它安全问题形成的蠕虫传播。包括但不限于XSS,CSRF等;


【中】

分值范围 3-5,金币系数2。本等级包括:

1)      需要条件才能获取用户身份信息的漏洞。包括但不限于存储型 XSS;

2)      本地拒绝服务漏洞。包括但不限于客户端本地拒绝服务(解析文件格式、网络协议产生的崩溃);

3)      普通的信息泄露,包括但不限于包括可以轻微数据的SQL注入和难以利用的SQL注入等;

4)      普通的越权操作以及设计缺陷和流程缺陷;

5)      客户端用户名密码明文存储,以及网络明文密码传输;


【低】

分值范围 1-2,金币系数 1。本等级包括

1)      轻微的信息泄露,包括但不限于PHPINFO、SVN 等;

2)      URL跳转漏洞,反射型XSS;

3)      确定的安全隐患但是难以利用的漏洞;


【无】

分值范围 0,本等级包括:

1)      无法影响其他用户的漏洞包括但不限于self-xss;

2)      无法利用的漏洞,包括但不限于版本过低;

3)      无关安全的BUG,包括但不限于功能无法使用,轻微的暴错信息、路径信息等;



【双倍积分】

能够危害用户的个人数据安全,并且能够给出详细的漏洞利用细节的漏洞一经确认,会在原有积分基础上双倍。漏洞严重级别保持不变。

【额外现金奖励】

漏洞威胁严重的可获取额外现金奖励,最高可获取现金5000 - 10000人民币。


通用的漏洞评分原则:

1)     评分标准仅适用于新浪网产品和业务。与新浪无关的漏洞,不做处理;

2)     对于新浪投资的业务以及与新浪合作的第三方业务,漏洞对新浪业务有影响的不论漏洞严重性和数量,评分贡献值不超过 8,等级为【中】,包括但不限于新浪乐居(leju.sina.com.cn/house.sina.com.cn)、新浪show(show.sina.com.cn)等及旗下业务;漏洞

对新浪业务没有影响不做评分处理,但是新浪安全会通知第三方进行修复,包括但不限于乐居购房网(leju.com)、新浪地产(dichan.sina.com.cn)、新浪中医(zhongyi.sina.com)、新浪秀(show.sina.com.cn)、爱问(iask.sina.com.cn)、金生宝(gold.sina.com、vip9999.com)、c车险(chexian.sina.com)、舆情(wyq.sina.com)、支付(weibopay.com)、游戏(17g.com)、弈乐天地(duiyi.sina.com.cn)、爱彩(aicai.com)等及旗下业务;

3)     新浪的海外站点,包括但不限于新浪北美、新浪台湾、新浪香港的业务,非weibo.com、weibo.cn、sina.com.cn和sina.cn域的业务,不论漏洞严重性和数量贡献值不超过 5,等级为【低】;

4)     对于新浪提供给用户使用的云平台业务不作计分处理,如*.sinaapp.com下的漏洞

5)     同一漏洞最早提交者得分,其他提交者均不计分

6)     通用型漏洞、如 wordpress、Discuz 论坛、第三方 Flash 漏洞,服务器漏洞,第一个提交者计分,其他提交者均不计分。

7)     由同一个漏洞源引起的多个漏洞只算做一个漏洞,如多个业务用到一个存在漏洞 js 文件、框架以及模板导致的整站的安全漏洞

8)     漏洞报告者在复查漏洞时如果漏洞依旧存在,按新漏洞计分

9)     网上已经公开的以及在别的地方提交过的漏洞不作计分

10)   新浪推崇互联网工作组的《漏洞披露和处理公约》项目,参见:http://www.iswg.cn/Project3.html。反对一切利用漏洞进行损害用户和新浪利益、影响业务正常运作、未修复前公开、盗取用户数据等的行为。



争议解决办法

在漏洞报告处理过程中,如果报告者对流程处理、漏洞定级、漏洞评分等有异议的,可以通过漏洞详情页面的留言板或者通过即时通讯联系在线工作人员及时沟通。

新浪简介About Sina加入我们合作伙伴产品答疑
Copyright © 1998 - 2017 SINA. All Rights Reserved 新浪安全应急响应中心
新浪公司 版权所有