【登录】【注册】

欢迎您: ***【个人中心】|【退出】

公告

【YSRC-2020-0401】欢聚时代外部漏洞报告处理流程


公告编号:YSRC-2020-0401

公告来源:YSRC

发布日期:2014-11-18

更新日期:2020-04-01


公告内容:


根据漏洞危害程度分为高危、中危、低危、忽略四个等级,每个等级评分如下:


【高危】


分值范围 7-10 ,金币系数 10 。本等级包括:


1) 严重的敏感信息泄露,包括但不限于可以获取重要数据的 SQL 注入漏洞(如用户帐号密码)、源代码泄露以及任意文件读取和下载漏洞(如包含重要服务口令)等


2) 直接获取系统权限的漏洞(服务端和客户端),包括但不限于远程任意命令执行、代码执行、任意文件上传获取 webshell、缓冲区溢出、SQL注入获取系统权限等


3) 严重的逻辑设计漏洞,包括但不限于任意账号登陆、任意账号密码修改、支付绕过漏洞、以任意人身份进行敏感操作等


4) 远程直接导致业务拒绝服务的漏洞,包括但不限于服务和系统中的远程拒绝服务攻击漏洞


5) 大范围影响用户的漏洞,包含但不限于敏感重要页面的存储型 XSS、CSRF 等


6) 越权访问,包括但不限于绕过验证直接访问后台、后台登录弱口令、以及其他服务的弱口令等


【中危】


分值范围 3-6 ,金币系数 7 。本等级包括:


1) 需要与用户进行交互的漏洞。包括但不限于反射型 XSS(包括反射型 DOM-XSS)、CSRF、普通业务的存储型 XSS


2) 普通的信息泄露,包括但不限于包括可以轻微数据的SQL注入和难以利用的SQL注入,客户端用户名密码明文存储,以及网络明文密码传输等


3) 普通的越权操作、设计缺陷和流程缺陷


4) 远程拒绝服务漏洞,包括但不限于客户端远程拒绝服务(解析文件格式、网络协议产生的崩溃)


【低危】


分值范围 1-2 ,金币系数 5 。本等级包括


1) URL跳转漏洞


2) 轻微的信息泄露,包括但不限于路径泄露、phpinfo、svn 等


3) 本地拒绝服务漏洞。包括但不限于客户端本地拒绝服务(解析文件格式、网络协议产生的崩溃)


4) 难以利用但又可能存在安全隐患的问题


【忽略】


分值范围 0 ,本等级包括:


1) 无关安全的BUG,包括但不限于网页乱码、网页无法打开、产品某功能无法使用等


2) 无法利用的漏洞,包括但不限于没有实际意义的扫描器漏洞报告(如 Web Server 的低版本)、Self-XSS、无敏感信息的 JSON Hijacking、

无敏感操作的 CSRF(如收藏、添加购物车、非重要业务的订阅、非重要业务的普通个人资料修改等)、无意义的源码泄漏、内网 IP 地址/域名泄漏、401 基础认证钓鱼、程序路径信任问题、无敏感信息的 logcat 信息泄漏


3) 非欢聚集团业务的漏洞(例如虎牙)


【系数算法】


漏洞危害分 * 金币系数 = 最终金币


例:严重漏洞 9 * 金币系数 10 = 90 金币