您的当前位置:首页正文

阿里云漏洞定级标准

2022-09-17 来源:个人技术集锦
漏洞等级

根据漏洞的危害程度将漏洞等级分为【高】、【中】、【低】三个等级。由先知平台结合利用场景中漏洞的严重程度、利用难度等综合因素给予相应分值的贡献值和漏洞级别,每种等级包含的评分标准及漏洞类型如下: 【高】

1、直接获取系统权限的漏洞(服务器权限、PC客户端权限)。包括但不仅限于远程命令执行、任意代码执行、上传获取Webshell、SQL注入获取系统权限、缓冲区溢出(包括可利用的ActiveX缓冲区溢出)。

2、重要的敏感信息泄漏。包括但不仅限于重要业务DB 的 SQL 注入、可获取大量企业核心业务数据等接口问题引起的敏感信息泄露。

3、严重的逻辑设计缺陷和流程缺陷。包括但不仅限于批量修改任意账号密码漏洞、涉及企业核心业务的逻辑漏洞等。

4、敏感信息越权访问。包括但不仅限于绕过认证直接访问管理后台、重要后台弱密码、获取大量内网敏感信息的SSRF等。

5、企业重要业务越权敏感操作。包括但不仅限于账号越权修改重要信息、重要业务配置修改等较为重要的越权行为。

6、大范围影响用户的其他漏洞。包括但不仅限于可造成自动传播的重要页面的存储型XSS(包括存储型DOM-XSS)。 【中】

1、需交互方可影响用户的漏洞。包括但不仅限于一般页面的存储型XSS,涉及核心业务的CSRF等。

2、普通越权操作。包括但不仅限于包括但不限于绕过限制修改用户资料、执行用户操作等。 3、普通的逻辑设计缺陷和流程缺陷。包括因为未设置验证码或者验证码未刷新导致的撞库漏洞。

4、拒绝服务漏洞。包括但不限于导致网站应用拒绝服务等造成影响的远程拒绝服务漏洞等。 【低】

1、本地拒绝服务漏洞。包括但不仅限于客户端本地拒绝服务(解析文件格式、网络协议产生的崩溃),由Android组件权限暴露、普通应用权限引起的问题等。

2、普通信息泄漏。包括但不仅限于客户端明文存储密码、以及web路径遍历、系统路径遍历等。

3、其他危害较低的漏洞。包括但不仅限于反射型 XSS(包括反射型 DOM-XSS和flash XSS)、普通CSRF、URL跳转漏洞、任意次数短信发送、任意手机号码或邮箱注册等。 评分标准通用原则

1、该标准仅适用于入驻先知平台的企业,并且只针对企业已明确说明接收漏洞的产品及业务。企业已明确说明不接收的漏洞将做驳回处理。企业已明确说明的漏洞等级调整将以企业为准。企业边缘业务将根据其重要程度适当调低漏洞等级。

2、各等级漏洞的最终贡献值数量由漏洞利用难度及影响范围等综合因素决定,若漏洞触发条件非常苛刻,包括但不限于特定浏览器才可触发的XSS漏洞,则可跨等级调整贡献值数量。

3、同一个漏洞源产生的多个漏洞计漏洞数量为一。例如同一个接口引起的多个安全漏洞、同一个发布系统引起的多个页面的安全漏洞、框架导致的整站的安全漏洞、泛域名解析产生的多个安全漏洞;因为厂商未做身份校验导致的多个接口越权或者是未做token校验导致的多个CSRF漏洞;同一文件的不同参数、同一参数出现在不同文件、同一文件在不同目录等。

4、第三方产品的漏洞只给第一个提交者计贡献值,等级不高于【中】,包括但不限于企业所使用的WordPress、Flash插件以及Apache等服务端相关组件、OpenSSL、第三方SDK等;不同版本的同一处漏洞视为相同漏洞。

5、同一漏洞,首位报告者计贡献值,其他报告者均不计。 6、在漏洞未修复之前,被公开的漏洞不计分。 7、报告网上已公开的漏洞不计贡献值。

8、同一份报告中提交多个漏洞,只按危害级别最高的漏洞计贡献值。

9、以测试漏洞为借口,利用漏洞进行损害用户利益、影响业务运作、盗取用户数据等行为的,将不会计贡献值,同时先知平台将联合入驻企业保留采取进一步法律行动的权利。 10、对于提交描述不清的漏洞,将会直接忽略处理;每个漏洞需要明确产生漏洞的URL地址、完整的截图、清晰的语言表达。

11、SQL注入需要证明可以注入出数据,注意数据是指表中数据,如果只获取到数据库名或者用户名、表名信息的将会忽略处理。 12、弱口令问题:

12.1对于同一个人发现同一系统的不同的弱口令,将合并处理。

12.2对于默认的初始密码,只按照一个漏洞进行处理(比如邮箱的初始密码都是同一个密码,视为一个漏洞)。

12.3对于非重点系统,审核过程只正常确认该系统的第一个弱口令,后续提交的弱口令酌情忽略处理。

12.4对于重点系统或者核心业务,在评级过程中只正常确认前3个弱口令,后续的提交弱口令问题酌情降级处理。

13、对于边缘/废弃业务系统,根据实际情况酌情降级。

14、存在前后关系的漏洞,比如同一人提交的弱口令进入后台,后台SQL注入的漏洞合并处理,可以提高漏洞等级,希望大家不要拆分漏洞,先知将根据实际情况对严重拆分漏洞,刷漏洞等恶意行为进行冻结账户、甚至封号的处理。

15、信息泄露类的漏洞如github信息泄露,memcache、redis等未授权访问等,根据存储的内容的有效、敏感程度进行确认评级,单独的危害较低的信息泄露如路径泄露,phpinfo信息泄露等将会忽略处理。

16、对于已经得到webshell的情况,如果想打包源代码审计,请事先联系审核人员,审核人员将会与厂商沟通相关事宜,如果厂商同意审计,再进行后续操作,发现的漏洞可单独提交。否则,禁止下载源代码,将视为违规操作、一经发现行冻结账户、甚至封号的处理。 17、对于使用采用低版本的cms导致的漏洞,每个漏洞类型只确认第一个提交的安全问题。 18、切勿进行可能引起业务异常运行的测试,例如:IIS的拒绝服务或者slow_http_dos等漏洞。

19、对于一些难以利用的安全漏洞,例如:HTTP.sys远程命令执行的类似漏洞,只确认一个提交的漏洞,评为低危漏洞,只是为了提示厂商做对应的升级。 注意事项

1、白帽子在测试SQL注入漏洞时,对于update或者delete报错注入,使用手工测试,禁止直接使用工具测试。

2、测试过程中,社工企业员工,注意分寸,切勿对个人造成名誉影响。 3、禁止修改厂商的任何数据,包括数据库内容、账户密码、数据库连接密码等。 4、不允许使用扫描器对后台系统进行扫描。

5、以上所有漏洞级别可视应用场景再具体定级,如SQL注入涉及到的数据为边缘系统或者测试数据则降低漏洞等级等。

因篇幅问题不能全部显示,请点此查看更多更全内容