公告详情

<<返回

【SSRC-2020-1228】漏洞评分标准

【SSRC-2020-12-28】漏洞评分标准

公告编号:SSRC-2020-12-28

公告来源:新浪网安全应急响应中心

公告时间:2020-12-28

公告内容:

详细的漏洞评分标准

根据漏洞的危害程序共分为五个级别:严重、高、中、低、忽略,下面描述了安全漏洞的详细评分标准:


核心业务:新浪主站、新浪新闻、新浪体育、新浪财经、新浪广告等;微博主站和微博客户端(微博漏洞也可直接提交到微博SRC)。

注:爱问漏洞可以暂时提交给邮箱 qian.li@iask.com\ jincheng.tang@iask.com

乐居、地产相关可以提交到补天,标注乐居。

新浪支付漏洞可以提交给邮箱 security@weibopay.com


【严重】核心系统应用中的高危漏洞

分值范围 6-20,金币系数 10。本等级包括:

1)      核心业务的严重敏感信息泄露,包括但不限于核心DB的 SQL 注入漏洞(如大批量用户帐号数据等)等;

2)      核心业务的严重逻辑漏洞,包括但不限于任意账号登陆、任意账号密码修改、支付绕过漏洞、以任意人身份敏感操作等;

3)      远程直接获取系统权限的漏洞(服务端和客户端),包括但不仅限于远程任意命令执行、代码执行、任意文件上传获取 webshell、缓冲区溢出、SQL注入获取系统权限、缓冲区溢出(包括可利用的 ActiveX缓冲区溢出)等;

4)      远程直接导致核心业务拒绝服务的漏洞,包括但不限于服务和系统中的远程拒绝服务攻击漏洞;

5)      通过单个或者组合漏洞可大范围影响用户的其他漏洞。包括但不仅限于可造成自动传播的重要页面的存储型XSS(包括存储型DOM-XSS)和涉及资金、密码、用户以及新闻内容的CSRF等


【高】非核心系统中的高危漏洞,或核心系统中的一般漏洞

分值范围 5-10,金币系数 5。本等级包括:

1)      属于严重级别中所描述的漏洞类型,但产生在非核心系统中的漏洞(例如非核心系统的远程任意命令执行、可dump出数据的SQL注入);或者核心系统中的边缘数据库以及核心系统据库但数据量不大;

2)      访问任意系统文件的漏洞,包括但不限于任意文件包含、任意文件读取;

3)      其它敏感信息泄漏。包括但不限于源代码压缩包泄漏、UC-Key 泄露、HEARTBLEED 漏洞等。同时包括通过 SVN 信息泄漏、Git 信息泄露导致的重要产品线源码泄露;

4)         包含敏感信息的非授权访问。包括但不仅限于绕过认证直接访问管理后台、后台弱密码、可直接获取大量内网敏感信息的 SSRF;

5)       包含敏感信息的越权操作及核心系统的越权操作。包括但不仅限于越权修改其他用户重要信息、进行订单操作、重要业务配置修改等较为重要的越权行为。


【中】

分值范围 3-5,金币系数2。本等级包括:

1)      需交互方可影响用户的漏洞。包括但不仅限于一般页面的存储型XSS、重要操作的CSRF;

2)      普通信息泄漏。包括但不仅限于客户端明文存储密码、客户端密码明文传输以及具有实际影响的web路径遍历、系统路径遍历;

3)      普通的越权操作以及设计缺陷和流程缺陷。包括但不仅限于越权查看非核心系统的订单信息与记录、不正确的直接对象引用、影响业务运行的Broadcast消息伪造等Android组件权限漏洞等;

4)      普通的逻辑设计缺陷和流程缺陷(例如绕过实名认证)等;


【低】

分值范围 1-2,金币系数 1。本等级包括

1)      轻微的信息泄露。包括但不仅限于可造成实际影响的路径信息泄漏、非核心系统的 SVN 信息泄漏等;

2)      确定的安全隐患但是难以利用的漏洞。包括但不仅限于难以利用的 SQL 注入点、可引起传播和利用的反射型 XSS(包括反射型 DOM-XSS)、可引起传播和利用的Self-XSS、无重要影响的URL跳转漏洞、需构造部分参数且有一定影响的 CSRF。

3)      本地拒绝服务漏洞。包括但不仅限于客户端本地拒绝服务(解析文件格式、网络协议产生的崩溃),由Android组件权限暴露、普通应用权限引起的问题等;


【忽略】

本等级包括:

1)      无法利用或无实际意义的漏洞。包括但不仅限于无任何影响的Self-XSS、无敏感操作的 CSRF、无意义的异常信息泄漏、内网 IP 地址/域名泄漏、PC端的明文密码传输;

2)      无法重现的漏洞、只有“简要概述”的漏洞、不能直接体现漏洞的其他问题。包括但不限于纯属用户猜测、未经过验证的问题、无实际危害证明的扫描器结果;

3)      不涉及安全问题的 Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性等问题




【双倍积分】
        能够严重危害大批量用户的个人数据安全,并且能够给出详细的漏洞利用细节的漏洞一经确认,会在原有积分基础上双倍。漏洞严重级别保持不变。(SQL注入数据量大的不在此范围)

【评分标准通用原则】

1)     评分标准仅适用于新浪集团产品和业务。与新浪无关的漏洞,不做处理;

2)     对于新浪投资的业务以及与新浪合作的第三方业务,漏洞对新浪业务有影响的不论漏洞严重性和数量,评分贡献值不超过 8,等级为【中】,包括但不限于扬帆计划(yangfanbook.sina.com.cn)、乐居购房网(leju.com)、新浪地产(dichan.sina.com.cn)、新浪中医(zhongyi.sina.com)、新浪秀(show.sina.com.cn)、爱问(iask.sina.com.cn)、金生宝(gold.sina.com、vip9999.com)、车险(chexian.sina.com)、舆情(wyq.sina.com/yuqing.sina.com)、支付(weibopay.com)、游戏(17g.com)、弈乐天地(duiyi.sina.com.cn)、爱彩(aicai.com)、微米(weimi.me)、医药新闻(med.sina.com)、新浪分期(sinafenqi.com)等及旗下业务;

3)   不属于新浪的业务,对新浪业务没有影响不做评分处理(如有业务不属于新浪集团,但属于新浪或微博子域范围内可能会对新浪造成影响的漏洞会酌情进行处理评分并联系相关负责人),包括扬帆计划(yangfanbook.sina.com.cn)、乐居购房网(leju.com)、新浪地产(dichan.sina.com.cn)、新浪中医(zhongyi.sina.com)、新浪秀(show.sina.com.cn)、爱问(iask.sina.com.cn)、金生宝(gold.sina.com、vip9999.com)、车险(chexian.sina.com)、舆情(wyq.sina.com)、支付(weibopay.com)、游戏(17g.com)、弈乐天地(duiyi.sina.com.cn)、爱彩(aicai.com)、微米(weimi.me)、医药新闻(med.sina.com)、新浪分期(sinafenqi.com)等及旗下业务;

4)     新浪的海外站点,包括但不限于新浪北美、新浪台湾、新浪香港的业务,非weibo.com、weibo.cn、sina.com.cn和sina.cn域的业务,不论漏洞严重性和数量贡献值不超过 5,等级为低

5)     对于新浪提供给用户使用的云平台业务不作计分处理,如*.sinaapp.com下用户应用中出现的漏洞

6)     同一漏洞最早提交者得分,其他提交者均不计分

7)     通用型漏洞、如 wordpress、Discuz 论坛、第三方 Flash 漏洞,服务器漏洞,第一个提交者计分,其他提交者均不计分

8)     由同一个漏洞源引起的多个漏洞只算做一个漏洞,如多个业务用到一个存在漏洞 js 文件、框架以及模板导致的整站的安全漏洞

9)     在漏洞未修复之前,被公开的漏洞不计分(即在修复完成前将详情公开的,将会做取消漏洞评分处理,忽略的漏洞除外)

10)    网上已经公开的以及在别的地方提交过的漏洞不作计分

11)   对内部已发现并正在处理的漏洞,不作计分

12)   新浪推崇互联网工作组的《漏洞披露和处理公约》项目,参见:http://www.iswg.cn/Project3.html以及新浪发布的《新浪安全应急响应中心用户协议》(提交漏洞处可见)。如果出现以测试漏洞为借口,利用漏洞进行损害用户利益、影响业务运作、盗取用户数据等行为的,将不会计贡献值,同时新浪集团保留采取进一步法律行动的权利。


争议解决办法

在漏洞报告处理过程中,如果报告者对流程处理、漏洞定级、漏洞评分等有异议的,可以通过漏洞详情页面的留言板或者通过即时通讯联系在线工作人员及时沟通


新浪简介About Sina加入我们合作伙伴产品答疑
Copyright © 1998 - 2021 SINA. All Rights Reserved 新浪安全应急响应中心
新浪公司 版权所有