中通安全應(yīng)急響應(yīng)中心漏洞評分標(biāo)準(zhǔn)V3.1正式發(fā)布啦~
主要針對以下三方面作出微調(diào)
1�����、業(yè)務(wù)系數(shù)說明
2�����、安全漏洞評級標(biāo)準(zhǔn)
3、個人季度獎勵
業(yè)務(wù)系數(shù)說明
中通SRC以業(yè)務(wù)相關(guān)性為依據(jù)���,將此系數(shù)劃分為三個等級:核心應(yīng)用��、一般應(yīng)用�、邊緣應(yīng)用���。
【核心應(yīng)用】:承載中通核心業(yè)務(wù)的系統(tǒng)���,包括但不限于快遞超市、快遞管家����、掌中通、中通快遞小程序等���。
【一般應(yīng)用】:承載中通非核心業(yè)務(wù)的系統(tǒng)�����,包括但不限于中通快遞官網(wǎng)��、兔喜快遞柜�����、在線客服系統(tǒng)等�����。
【邊緣應(yīng)用】:一般業(yè)務(wù)中的非核心業(yè)務(wù)��,包含但不限于中通快遞第三方供應(yīng)商提供的系統(tǒng)��、子公司系統(tǒng)����、網(wǎng)點自建系統(tǒng)(網(wǎng)點自建系統(tǒng)僅收包含用戶敏感信息泄露相關(guān)漏洞)等��。
安全漏洞評級標(biāo)準(zhǔn)
根據(jù)漏洞的危害程度將漏洞等級分為【嚴(yán)重】��、【高】���、【中】����、【低】、【無】五個等級���。由ZSRC結(jié)合利用場景中漏洞的嚴(yán)重程度及利用難度等綜合因素給予相應(yīng)漏洞等級��,每種等級包含的評分標(biāo)準(zhǔn)及漏洞類型如下:
1�����、嚴(yán)重漏洞
(1)直接獲取系統(tǒng)權(quán)限(服務(wù)器權(quán)限��、客戶端權(quán)限)的漏洞����。包括但不限于遠(yuǎn)程命令執(zhí)行���、代碼執(zhí)行�����、任意文件上傳獲取Webshell��、緩沖區(qū)溢出��、SQL注入獲取系統(tǒng)權(quán)限等����;
(2)嚴(yán)重級別的敏感信息泄露。包括但不限于核心DB(身份�����、交易相關(guān))的 SQL 注入�,可獲取大量用戶的身份信息、訂單信息等接口問題引起的敏感信息泄露����。(能泄露敏感信息三元組(姓名、聯(lián)系方式���、地址)三個月內(nèi)數(shù)據(jù)200w以上,單一敏感數(shù)據(jù)800w以上)���;
(3)涉及支付相關(guān)漏洞包括但不限于:嚴(yán)重的邏輯錯誤�、能夠大量獲取利益造成公司��、用戶損失的漏洞
(4)生產(chǎn)業(yè)務(wù)系統(tǒng)嚴(yán)重的邏輯設(shè)計缺陷和流程缺陷���。包括但不僅限于任意賬號登錄�����、任意賬號密碼修改��、任意賬號資金消費����、交易支付方面嚴(yán)重的問題等。
2��、高危漏洞
(1)重要敏感信息泄露�。包括但不僅限于非核心DB的SQL 注入、重要源代碼壓縮包泄漏���、可直接利用的敏感數(shù)據(jù)泄露等�����;
(2)敏感信息越權(quán)訪問���,包括但不僅限于繞過認(rèn)證直接訪問管理后臺、后臺弱密碼�����、任意訂單查看、任意用戶敏感信息訪問�、支持多種協(xié)議可獲取大量內(nèi)網(wǎng)敏感信息的 SSRF 等;
(3)直接獲取移動客戶端權(quán)限�。包括但不僅限于遠(yuǎn)程命令執(zhí)行、任意代碼執(zhí)行等����;
(4)越權(quán)敏感操作。包括但不僅限于賬號越權(quán)修改重要信息���、進行訂單普通操作���、重要業(yè)務(wù)配置修改、查看敏感數(shù)據(jù)等較為重要的越權(quán)行為(能泄露敏感信息三元組(姓名�、聯(lián)系方式、地址)三個月內(nèi)數(shù)據(jù)20w以上��,單一敏感數(shù)據(jù)100w以上)���;
(5)大范圍影響用戶的其他漏洞。包括但不僅限于可造成自動傳播的存儲型XSS和涉及交易�����、資金、密碼的CSRF等���。
3�、中危漏洞
(1)需交互方可影響用戶的漏洞����。包括但不僅限于存儲型XSS、CSRF等�����;
(2)普通信息泄漏����。包括但不僅限于未涉及敏感數(shù)據(jù)的SQL注入,數(shù)據(jù)量有限且敏感程度有限的越權(quán)�����、數(shù)據(jù)量有限的內(nèi)部服務(wù)器(無法登錄證明)賬號密碼泄露��、郵箱賬號密碼泄露等��;
(3)普通的內(nèi)網(wǎng)SSRF����;
(4)普通越權(quán)操作�����,包括但不僅限于未經(jīng)嚴(yán)格校驗的取消訂單功能���、越權(quán)刪除地址、不安全的直接對象引用�,一般業(yè)務(wù)系統(tǒng)的越權(quán)行為等;
4����、低危漏洞
(1)信息泄露。包括但不僅限于SVN 信息泄漏�、phpinfo、本地日志等�����;
(2)存在安全隱患����,但利用難度較大的漏洞�����。包括但不僅限于難以利用的 SQL注入點、可引起傳播和利用的Self-XSS��、需構(gòu)造部分參數(shù)且有一定影響的CSRF����、需要用戶連續(xù)交互的敏感安全漏洞等;
(3)URL跳轉(zhuǎn)等一般風(fēng)險��、危害較小的安全問題����;
(4)非重要賬號體系的撞庫、爆破等問題�;
(5)只在特定情況之下才能獲取用戶信息的漏洞,包括但不限于反射XSS�。
5、無影響
(1)不涉及安全問題的Bug����。包括但不僅限于產(chǎn)品功能缺陷、網(wǎng)頁亂碼�、樣式混亂、靜態(tài)文件目錄遍歷、應(yīng)用兼容性等問題�;
(2)無法利用的漏洞。包括但不僅限于 Self-XSS��、無敏感操作的CSRF�����、無意義的異常信息泄漏�、內(nèi)網(wǎng)IP 地址/域名泄漏;
(3)無法重現(xiàn)的漏洞����。包括但不僅限于純屬用戶猜測、未經(jīng)過驗證的問題�、無法實際危害證明的掃描器結(jié)果;
(4)非接收范圍內(nèi)的漏洞����,如非中通業(yè)務(wù)/已解除商務(wù)合作關(guān)系的安全漏洞;
(5)內(nèi)部已知��、正在處理的漏洞��。包括但不限于如Discuz等已在其他平臺公開通用的�,白帽子��、內(nèi)部已發(fā)現(xiàn)的漏洞���。
個人季度獎勵
獎勵細(xì)則:
免責(zé)聲明:羅戈網(wǎng)對轉(zhuǎn)載���、分享����、陳述��、觀點����、圖片、視頻保持中立��,目的僅在于傳遞更多信息���,版權(quán)歸原作者�。如無意中侵犯了您的版權(quán)��,請第一時間聯(lián)系�,核實后,我們將立即更正或刪除有關(guān)內(nèi)容,謝謝����!
[羅戈導(dǎo)讀]中通安全應(yīng)急響應(yīng)中心漏洞評分標(biāo)準(zhǔn)V3.1
微信-客服二維碼-1_7FYvfo9xbJql.png?x-oss-process=image/quality,Q_80)
