682 阿裏雲技術社區[雲棲]

漏洞等級說明__漏洞說明_先知計劃-阿裏雲

根據漏洞的危害程度將漏洞等級分為【高】、【中】、【低】三個等級。由先知平台結合利用場景中漏洞的嚴重程度、利用難度等綜合因素給予相應分值的貢獻值和漏洞級別，每種等級包含的評分標準及漏洞類型如下：

基礎分60-100，本等級包括：

1、直接獲取係統權限的漏洞（服務器權限、PC客戶端權限）。包括但不僅限於遠程命令執行、任意代碼執行、上傳獲取Webshell、SQL注入獲取係統權限、緩衝區溢出（包括可利用的ActiveX緩衝區溢出）。

2、直接導致重要業務拒絕服務的漏洞。包括但不僅限於直接導致移動網關業務API業務拒絕服務、網站應用拒絕服務等造成嚴重影響的遠程拒絕服務漏洞。

3、重要的敏感信息泄漏。包括但不僅限於重要業務DB 的 SQL 注入、可獲取大量企業核心業務數據等接口問題引起的敏感信息泄露。

4、嚴重的邏輯設計缺陷和流程缺陷。包括但不僅限於批量修改任意賬號密碼漏洞、涉及企業核心業務的邏輯漏洞等。

5、敏感信息越權訪問。包括但不僅限於繞過認證直接訪問管理後台、重要後台弱密碼、獲取大量內網敏感信息的SSRF等。

6、企業重要業務越權敏感操作。包括但不僅限於賬號越權修改重要信息、重要業務配置修改等較為重要的越權行為。

7、大範圍影響用戶的其他漏洞。包括但不僅限於可造成自動傳播的重要頁麵的存儲型XSS（包括存儲型DOM-XSS）。

基礎分30-50，本等級包括：

1、需交互方可影響用戶的漏洞。包括但不僅限於一般頁麵的存儲型XSS，涉及核心業務的CSRF等。

2、普通越權操作。包括但不僅限於包括但不限於繞過限製修改用戶資料、執行用戶操作等。

3、普通的邏輯設計缺陷和流程缺陷。包括但不僅限於不限次數短信發送、任意手機郵箱信息注冊用戶等。

基礎分10-20，獎勵係數可為0，本等級包括：

1、本地拒絕服務漏洞。包括但不僅限於客戶端本地拒絕服務（解析文件格式、網絡協議產生的崩潰），由Android組件權限暴露、普通應用權限引起的問題等。

2、普通信息泄漏。包括但不僅限於客戶端明文存儲密碼、以及web路徑遍曆、係統路徑遍曆等。

3、其他危害較低的漏洞。包括但不僅限於反射型 XSS（包括反射型 DOM-XSS）、普通CSRF、URL跳轉漏洞等。

最後更新：2016-11-23 16:04:00