2024-09-26漏洞评分标准
漏洞评分标准
本漏洞挖掘的评分标准文档,帮助评估漏洞发现的思路及其潜在危害。评分总分为5分,主要从漏洞挖掘思路和漏洞危害两个方面进行打分。同时,本文还列举了不同危害等级对应的漏洞类型,帮助更好地理解各类漏洞的严重程度。
1. 评分总览
| 评分项 | 分值 |
|---|---|
| 漏洞挖掘思路 | 2分 |
| 漏洞危害 | 3分 |
| 总分 | 5分 |
2. 评分细则
2.1 漏洞挖掘思路(2分)
评估挖掘漏洞时所使用的方法、思路的系统性和创新性。
| 分值 | 评分标准 |
|---|---|
| 0分 | 缺乏系统性思考,方法简单或机械,未展示出有效的漏洞挖掘策略。 |
| 1分 | 有一定的思路和方法,但缺乏创新性或深度,漏洞挖掘过程中存在明显的不足。 |
| 2分 | 思路清晰、展示出有效且创新的漏洞挖掘策略,能够深入分析代码结构和逻辑,发现复杂漏洞。 |
2.2 漏洞危害(3分)
根据漏洞的潜在危害程度进行评分,评估其对系统、数据或用户可能造成的影响。
| 危害等级 | 描述 | 分值 |
|---|---|---|
| 低危 | 漏洞对系统功能影响较小,可能导致信息泄露(非敏感数据)、UI缺陷等。 | 1分 |
| 中危 | 漏洞可能被利用进行攻击,如跨站脚本(XSS)、跨站请求伪造(CSRF)等。 | 2分 |
| 高危 | 漏洞能够被利用执行严重攻击,如SQL注入、远程代码执行(RCE)等。 | 3分 |
| 严重 | 漏洞可导致系统完全被控制、严重数据泄露或关键功能失效,如认证绕过、任意文件上传等。 | 3分 |
注意:在本评分标准中,高危害和严重危害均评分为3分,旨在强调其严重性。
3. 漏洞危害对应的漏洞举例
-
3.1严重
- 获取目标重要系统权限,包括但不限于RCE、getshell、SQL注入获取os-shell权限等。
- 大量个人敏感信息泄露,定义为大于10万。主要包括:证件号码、通讯地址、联系方式等。
- 重要系统高权限接管,如高校CAS、VPN、教务、邮件、办公系统,可进行增删改查操作。
- 通过SSRF嗅探内网获取重要权限,如:获取元数据接管系统。
- 直接获取目标重要机密信息。
- 其他可影响大面积信息系统漏洞,站点数大于1000且利用难度低(此处指前台利用)。
-
3.2 高危
- 通过各类手段获取目标普通系统权限。
- 成功进行垂直越权且可操作全部功能,或操作部分重要功能。
- 各类严重缺陷,诸如:任意用户密码重置、任意用户登录、任意用户覆盖等。
- 水平越权获取用户信息且遍历简单,如:用户ID为int类型自增,可直接遍历。如为UUID且无法获取全部用户UUID的将会降级为中危。
- 成功进行水平越权且可操作其他用户全部功能,或操作部分重要功能。
- 任意文件下载、读取且可爆破物理路径获取目标程序源代码。
- 全回显或部分回显SSRF。
- 其他根据实际情况判定为高危害类。
-
3.3 中危
- 需要进行交互的漏洞,如XSS获取Cookie。
- 存储型XSS且可获取用户Cookie。如已有HTTPOnly,或 Self XSS 则视情况降级为低危或忽略。
- 逻辑缺陷漏洞,不影响系统完整性或可用性。
- 条件竞争实现某些操作,需要前置条件或危害较小则视情况降级为低危或忽略。
- SQL注入或其他手段获取密码密文,需要解密才能登录。
- 一般系统的SQL注入,如非官网的SQL注入,无法获取更多信息。
- 任意文件读取、下载,但无法获得源码。
- 不回显SSRF。
- 弱口令、未授权漏洞,边缘业务则视情况降级为低危或忽略。
- 配置文件泄露,例如JVM heap dump文件。
- 不确定归属(无备案信息,IP段,无敏感数据)的有效漏洞。
-
3.4 低危
- 短信轰炸,可发短信给系统不存在的用户,绕过时间限制等。
- 验证码绕过,可无视验证码或直接获得验证码token等。
- 垂直、水平越权,但只能使用部分功能。
- 有漏洞点,但因为WAF等原因无法利用的。
- 无法证明其存在危害,仅能概念证明的有效漏洞。
- 其他低危害情况。
等等,后续再按照实际更改规则。