中通安全应急响应中心漏洞评分标准V3.1

中通安全应急响应中心漏洞评分标准V3.1正式发布啦~

主要针对以下三方面作出微调

1、业务系数说明

2、安全漏洞评级标准

3、个人季度奖励

业务系数说明

中通SRC以业务相关性为依据，将此系数划分为三个等级：核心应用、一般应用、边缘应用。

【核心应用】：承载中通核心业务的系统，包括但不限于快递超市、快递管家、掌中通、中通快递小程序等。

【一般应用】：承载中通非核心业务的系统，包括但不限于中通快递官网、兔喜快递柜、在线客服系统等。

【边缘应用】：一般业务中的非核心业务，包含但不限于中通快递第三方供应商提供的系统、子公司系统、网点自建系统（网点自建系统仅收包含用户敏感信息泄露相关漏洞）等。

安全漏洞评级标准

根据漏洞的危害程度将漏洞等级分为【严重】、【高】、【中】、【低】、【无】五个等级。由ZSRC结合利用场景中漏洞的严重程度及利用难度等综合因素给予相应漏洞等级，每种等级包含的评分标准及漏洞类型如下：

1、严重漏洞

（1）直接获取系统权限（服务器权限、客户端权限）的漏洞。包括但不限于远程命令执行、代码执行、任意文件上传获取Webshell、缓冲区溢出、SQL注入获取系统权限等；

（2）严重级别的敏感信息泄露。包括但不限于核心DB（身份、交易相关）的 SQL 注入，可获取大量用户的身份信息、订单信息等接口问题引起的敏感信息泄露。（能泄露敏感信息三元组（姓名、联系方式、地址）三个月内数据200w以上，单一敏感数据800w以上）；

（3）涉及支付相关漏洞包括但不限于：严重的逻辑错误、能够大量获取利益造成公司、用户损失的漏洞

（4）生产业务系统严重的逻辑设计缺陷和流程缺陷。包括但不仅限于任意账号登录、任意账号密码修改、任意账号资金消费、交易支付方面严重的问题等。

2、高危漏洞

（1）重要敏感信息泄露。包括但不仅限于非核心DB的SQL 注入、重要源代码压缩包泄漏、可直接利用的敏感数据泄露等；

（2）敏感信息越权访问，包括但不仅限于绕过认证直接访问管理后台、后台弱密码、任意订单查看、任意用户敏感信息访问、支持多种协议可获取大量内网敏感信息的 SSRF 等；

（3）直接获取移动客户端权限。包括但不仅限于远程命令执行、任意代码执行等；

（4）越权敏感操作。包括但不仅限于账号越权修改重要信息、进行订单普通操作、重要业务配置修改、查看敏感数据等较为重要的越权行为（能泄露敏感信息三元组（姓名、联系方式、地址）三个月内数据20w以上，单一敏感数据100w以上）；

（5）大范围影响用户的其他漏洞。包括但不仅限于可造成自动传播的存储型XSS和涉及交易、资金、密码的CSRF等。

3、中危漏洞

（1）需交互方可影响用户的漏洞。包括但不仅限于存储型XSS、CSRF等；

（2）普通信息泄漏。包括但不仅限于未涉及敏感数据的SQL注入，数据量有限且敏感程度有限的越权、数据量有限的内部服务器（无法登录证明）账号密码泄露、邮箱账号密码泄露等；

（3）普通的内网SSRF；

（4）普通越权操作，包括但不仅限于未经严格校验的取消订单功能、越权删除地址、不安全的直接对象引用，一般业务系统的越权行为等；

4、低危漏洞

（1）信息泄露。包括但不仅限于SVN 信息泄漏、phpinfo、本地日志等；

（2）存在安全隐患，但利用难度较大的漏洞。包括但不仅限于难以利用的 SQL注入点、可引起传播和利用的Self-XSS、需构造部分参数且有一定影响的CSRF、需要用户连续交互的敏感安全漏洞等；

（3）URL跳转等一般风险、危害较小的安全问题；

（4）非重要账号体系的撞库、爆破等问题；

（5）只在特定情况之下才能获取用户信息的漏洞，包括但不限于反射XSS。

5、无影响

（1）不涉及安全问题的Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性等问题；

（2）无法利用的漏洞。包括但不仅限于 Self-XSS、无敏感操作的CSRF、无意义的异常信息泄漏、内网IP 地址/域名泄漏；

（3）无法重现的漏洞。包括但不仅限于纯属用户猜测、未经过验证的问题、无法实际危害证明的扫描器结果；

（4）非接收范围内的漏洞，如非中通业务/已解除商务合作关系的安全漏洞；

（5）内部已知、正在处理的漏洞。包括但不限于如Discuz等已在其他平台公开通用的，白帽子、内部已发现的漏洞。

个人季度奖励

奖励细则：