【YSRC-2020-0401】YY外部漏洞报告处理流程

公告编号：YSRC-2020-0401

公告来源：YSRC

发布日期：2014-11-18

更新日期：2020-04-01

公告内容：

根据漏洞危害程度分为高危、中危、低危、忽略四个等级，每个等级评分如下：

【高危】

分值范围 7-10 ，金币系数 10 。本等级包括：

1) 严重的敏感信息泄露，包括但不限于可以获取重要数据的 SQL 注入漏洞（如用户帐号密码）、源代码泄露以及任意文件读取和下载漏洞（如包含重要服务口令）等

2) 直接获取系统权限的漏洞（服务端和客户端），包括但不限于远程任意命令执行、代码执行、任意文件上传获取 webshell、缓冲区溢出、SQL注入获取系统权限等

3) 严重的逻辑设计漏洞，包括但不限于任意账号登陆、任意账号密码修改、支付绕过漏洞、以任意人身份进行敏感操作等

4) 远程直接导致业务拒绝服务的漏洞，包括但不限于服务和系统中的远程拒绝服务攻击漏洞

5) 大范围影响用户的漏洞，包含但不限于敏感重要页面的存储型 XSS、CSRF 等

6) 越权访问，包括但不限于绕过验证直接访问后台、后台登录弱口令、以及其他服务的弱口令等

【中危】

分值范围 3-6 ，金币系数 7 。本等级包括：

1) 需要与用户进行交互的漏洞。包括但不限于反射型 XSS（包括反射型 DOM-XSS）、CSRF、普通业务的存储型 XSS

2) 普通的信息泄露，包括但不限于包括可以轻微数据的SQL注入和难以利用的SQL注入，客户端用户名密码明文存储，以及网络明文密码传输等

3) 普通的越权操作、设计缺陷和流程缺陷

4) 远程拒绝服务漏洞，包括但不限于客户端远程拒绝服务（解析文件格式、网络协议产生的崩溃）

【低危】

分值范围 1-2 ，金币系数 5 。本等级包括

1) URL跳转漏洞

2) 轻微的信息泄露，包括但不限于路径泄露、phpinfo、svn 等

3) 本地拒绝服务漏洞。包括但不限于客户端本地拒绝服务（解析文件格式、网络协议产生的崩溃）

4) 难以利用但又可能存在安全隐患的问题

【忽略】

分值范围 0 ，本等级包括：

1) 无关安全的BUG，包括但不限于网页乱码、网页无法打开、产品某功能无法使用等

2) 无法利用的漏洞，包括但不限于没有实际意义的扫描器漏洞报告（如 Web Server 的低版本）、Self-XSS、无敏感信息的 JSON Hijacking、

无敏感操作的 CSRF（如收藏、添加购物车、非重要业务的订阅、非重要业务的普通个人资料修改等）、无意义的源码泄漏、内网 IP 地址/域名泄漏、401 基础认证钓鱼、程序路径信任问题、无敏感信息的 logcat 信息泄漏

3) 非YY集团业务的漏洞（例如虎牙\欢聚\华多）

【系数算法】

漏洞危害分 * 金币系数 = 最终金币

例：严重漏洞 9 * 金币系数 10 = 90 金币