公告详情

<<返回

【SSRC-2017-0727】漏洞评分标准


SSRC-2017-07-27】漏洞评分标准

公告编号:SSRC-2017-07-27

公告来源:新浪网安全应急响应中心

公告时间:2017-07-27

公告内容:

详细的漏洞评分标准

根据漏洞的危害程序共分为五个级别:严重、高、中、低、忽略,下面描述了安全漏洞的详细评分标准:


核心业务:新浪主站、新浪新闻、新浪体育、新浪财经等;微博主站和微博客户端(微博漏洞也可直接提交到微博SRC)。

注:爱问漏洞可以暂时提交给邮箱qian.li@iask.com

乐居、地产相关可以提交到补天,标注乐居。


【严重】核心系统应用中的高危漏洞

分值范围 5-20,金币系数 10。本等级包括:

1)     
核心系统的严重敏感信息泄露,包括但不限于核心DB SQL 注入漏洞(如大批量用户帐号数据等)等;

2)     
严重的逻辑漏洞,包括但不限于任意账号登陆、任意账号密码修改、支付绕过漏洞、以任意人身份敏感操作等;

3)     
远程直接获取系统权限的漏洞(服务端和客户端),包括但不仅限于重要业务的:远程任意命令执行、代码执行、任意文件上传获取 webshell、缓冲区溢出、SQL注入获取系统权限等;

4)     
远程直接导致核心业务拒绝服务的漏洞,包括但不限于服务和系统中的远程拒绝服务攻击漏洞;


【高】非核心系统中的高危漏洞,或核心系统中的一般漏洞

分值范围 5-10,金币系数 5。本等级包括:

1)     
属于严重级别中所描述的漏洞类型,但产生在非核心系统中的漏洞(例如非核心系统的远程任意命令执行、可dump出数据的SQL注入);或者核心系统中的边缘数据库以及核心系统数据库但数据量不大;


2
  访问任意系统文件的漏洞,包括但不限于任意文件包含、任意文件读取;

3)     
其它敏感信息泄漏。包括但不限于源代码压缩包泄漏、UC-Key 泄露、HEARTBLEED 漏洞等。同时包括通过 SVN 信息泄漏、Git 信息泄露导致的重要产品线源码泄露;

4)    
包含敏感信息的非授权访问。包括但不仅限于绕过认证直接访问管理后台、后台弱密码、可直接获取大量内网敏感信息的 SSRF


5
   包含敏感信息的越权操作及核心系统的越权操作。包括但不仅限于越权修改其他用户重要信息、进行订单操作、重要业务配置修改等较为重要的越权行为。


【中】

分值范围 3-5,金币系数2。本等级包括:

1)     
需要条件才能获取用户身份信息的漏洞。包括但不限于存储型 XSS

2)     
普通的信息泄露,包括但不限于包括可以轻微数据的SQL注入和难以利用的SQL注入、web 路径遍历、系统路径遍历等;

3)     
普通的越权操作以及设计缺陷和流程缺陷。包括但不仅限于越权查看非核心系统的订单信息、记录等;

4)     
客户端用户名密码明文存储,以及网络明文密码传输;


5
   普通的逻辑设计缺陷和流程缺陷。(例如绕过实名认证);


6
   其他造成中度影响的漏洞,例如:解析漏洞、目录遍历漏洞、管理后台对外;


【低】

分值范围 1-2,金币系数 1。本等级包括

1)     
轻微的信息泄露。包括但不仅限于路径信息泄漏、非核心系统的 SVN 信息泄漏、PHPinfo、异常信息泄露,以及客户端应用本地 SQL 注入(仅泄漏数据库名称、字段名、cache 内容)、日志打印、配置信息、异常信息等;

2)      URL
跳转漏洞,反射型XSS,普通 CSRF

3)     
确定的安全隐患但是难以利用的漏洞。包括但不仅限于难以利用的 SQL 注入点、可引起传播和利用的 Self-XSS、需构造部分参数且有一定影响的 CSRF


4)     
本地拒绝服务漏洞。包括但不限于客户端本地拒绝服务(解析文件格式、网络协议产生的崩溃);


【无】

分值范围 0,本等级包括:

1)     
无法利用的缺陷。包括但不限于self-xss、无敏感操作的 CSRF、无意义的异常信息泄漏、内 IP 地址/域名泄漏;

2)     
无法重现的漏洞、只有简要概述的漏洞、不能直接体现漏洞的其他问题。包括但不限于纯属用户猜测、未经过验证的问题、无实际危害证明的扫描器结果;

3)     
无关安全的BUG,包括但不限于功能无法使用,轻微的暴错信息、路径信息等;



【双倍积分】

能够严重危害大批量用户的个人数据安全,并且能够给出详细的漏洞利用细节的漏洞一经确认,会在原有积分基础上双倍。漏洞严重级别保持不变。(SQL注入数据量大的不在此范围)


通用的漏洞评分原则:

1)    
评分标准仅适用于新浪网产品和业务。与新浪无关的漏洞,不做处理;

2)    
对于新浪投资的业务以及与新浪合作的第三方业务,漏洞对新浪业务有影响的不论漏洞严重性和数量,评分贡献值不超过 8,等级为【中】,包括但不限于乐居购房网(leju.com)、新浪地产(dichan.sina.com.cn)、新浪中医(zhongyi.sina.com)、新浪秀(show.sina.com.cn)、爱问(iask.sina.com.cn)、金生宝(gold.sina.comvip9999.com)、车险(chexian.sina.com)、舆情(wyq.sina.com)、支付(weibopay.com)、游戏(17g.com)、弈乐天地(duiyi.sina.com.cn)、爱彩(aicai.com)、微米(weimi.me)、医药新闻(med.sina.com)等等及旗下业务;


3
   对新浪业务没有影响不做评分处理,但是新浪安全会通知第三方进行修复,包括但不限于乐居购房网(leju.com)、新浪地产(dichan.sina.com.cn)、新浪中医(zhongyi.sina.com)、新浪秀(show.sina.com.cn)、爱问(iask.sina.com.cn)、金生宝(gold.sina.comvip9999.com)、车险(chexian.sina.com)、舆情(wyq.sina.com)、支付(weibopay.com)、游戏(17g.com)、弈乐天地(duiyi.sina.com.cn)、爱彩(aicai.com、微米(weimi.me)、医药新闻(med.sina.com)等及旗下业务;

4)    
新浪的海外站点,包括但不限于新浪北美、新浪台湾、新浪香港的业务,非weibo.comweibo.cnsina.com.cnsina.cn域的业务,不论漏洞严重性和数量贡献值不超过 5,等级为【低】;

5)    
对于新浪提供给用户使用的云平台业务不作计分处理,如*.sinaapp.com下的漏洞

6)    
同一漏洞最早提交者得分,其他提交者均不计分

7)    
通用型漏洞、如 wordpressDiscuz 论坛、第三方 Flash 漏洞,服务器漏洞,第一个提交者计分,其他提交者均不计分。

8)    
由同一个漏洞源引起的多个漏洞只算做一个漏洞,如多个业务用到一个存在漏洞 js 文件、框架以及模板导致的整站的安全漏洞

9)    
漏洞报告者在复查漏洞时如果漏洞依旧存在,按新漏洞计分

10)    
网上已经公开的以及在别的地方提交过的漏洞不作计分

11)  
新浪推崇互联网工作组的《漏洞披露和处理公约》项目,参见:http://www.iswg.cn/Project3.html以及新浪发布的《新浪安全应急响应中心用户协议》(提交漏洞处可见)。反对一切利用漏洞进行损害用户和新浪利益、影响业务正常运作、未修复前公开、盗取用户数据等的行为。


12)  
以上规则解释权归新浪所有。



争议解决办法

在漏洞报告处理过程中,如果报告者对流程处理、漏洞定级、漏洞评分等有异议的,可以通过漏洞详情页面的留言板或者通过即时通讯联系在线工作人员及时沟通。


[1]


新浪简介About Sina加入我们合作伙伴产品答疑
Copyright © 1998 - 2018 SINA. All Rights Reserved 新浪安全应急响应中心
新浪公司 版权所有