TJRC漏洞评分和奖励标准

发布日期:2018-08-15

分享

TJRC漏洞评分和奖励标准 

---------
根据漏洞危害程度我们将其分为:严重、高、中、低、无五个等级,每个等级分值如下:
- 严重 : 7~10
- 高危 : 5~7
- 中危 : 3~5
- 低危 : 1~3
- 无 : 0
根据具体影响域我们分为:核心、一般、边缘三个层面,对应系数点如下:
- 核心业务 : 15
- 一般业务 : 10
- 边缘业务 : 3
【严重】分值范围 7-10 * 应用系数等级(若影响过于严重,则积分 * 2)
1)直接获取权限的漏洞。包括但不限于远程任意命令执行、GetShell、线下线上进入内网;
2)直接导致严重的信息泄漏漏洞;
3)直接导致严重影响的逻辑漏洞;
【高危】分值范围 5~7 * 应用系数等级
1)较易触发的存储型 XSS 漏洞、可实际利用的 SQL 注入漏洞;
2)越权访问,包括但不限于越权操作其他用户账户,越权访问用户信息,敏感后台登录;
3)高风险的信息泄漏漏洞,可批量获取的敏感数据泄漏;
4)可对主会员库进行无限制的登录尝试;
5)可以获得回显信息的SSRF;
【中危】分值范围 3-5 * 应用系数等级
1)存储型 XSS、SQL 注入;
2)无法获得回显信息的SSRF;
3)含敏感信息的信息泄漏漏洞;
4)未公开的威胁情报,包括但不限于拖库,有严重影响的刷单行为;
【低危】分值范围 1-3 * 标准系数 3
1)需交互才能操作或获取用户身份信息的漏洞;
2)轻微信息泄漏漏洞,包括但不限于路径泄漏、有实际影响的测试页面等;
3)无法规模化利用的用户信息泄漏漏洞;
5)反射型 XSS 漏洞;
6)难以利用但又可能存在安全隐患的问题,思路新颖可加分;
7)第三方供应商、供应链导致的用户信息泄漏,如下单后收到诈骗电话短信等;
8)网上已公开的威胁情报;
【无】分值范围 0
1)无关安全的bug;
2)无实际影响的扫描器报告;
3)无实际影响的 self xss、CSRF等漏洞;
4)无实际意义的源码泄漏;
【漏洞认定原则】
1)评分标准仅做为参考,最终评分根据漏洞实际危害程度进行调整;
2)通用型漏洞、同一安全隐患引起的多个问题计数为一个;
3)被重复提交的同一问题,认定第一个报告者为有效报告者;
4)一洞多投不计分;
5)以安全测试为借口,利用漏洞进行损害用户利益、影响业务正常运作、修复前未授权公开、盗取用户数据等行为的,将不计分,同时同程保留采取追究法律责任的权利;
【积分兑换】
1 积分等值人民币 10 元,可兑换同程金服安全响应中心积分商城所有商品。