公告编号:作者:云集安全应急响应中心发布日期:2020/06/29
一、安全威胁评分说明
云集安全应急响应中心威胁报告主要包含web/客户端漏洞、业务威胁情报、下面会对每个部分的规则做评分说明
根据威胁对业务的安全风险,威胁分为严重、高危、中危、低危
二、Web/客户端漏洞报告评审标准
严重漏洞:1000-3000
1) 直接获取核心系统权限(服务器端权限、客户端权限)的漏洞。包括但不限于:命令注入、远程命令执行、上传获取 WebShell、SQL 注入获取核心系统权限、缓冲区溢出(包括可利用的 ActiveX 缓冲区溢出);
2) 直接导致核心业务拒绝服务的漏洞。包括通过该远程拒绝服务漏洞直接导致线上核心应用、系统、服务器无法继续提供服务的漏洞;
3) 核心业务的严重逻辑设计缺陷和流程缺陷。包括但不限于任意账号登录和密码修改、任意账号资金消费、特大量订单详细泄露、核心支付系统支付交易流程的漏洞;
4) 严重级别的敏感信息泄露。包括但不限于核心 DB 的 SQL 注入漏洞、包含公司、用户敏感数据的接口引发的信息泄露。
高危漏洞 500-1000
1) 直接获取一般系统权限(服务器端权限、客户端权限)的漏洞。包括但不限于:命令注入、远程命令执行、上传获取 WebShell、SQL 注入获取系统权限、缓冲区溢出(包括可利用的 ActiveX 缓冲区溢出);
2) 核心系统越权访问操作。包括但不限于绕过认证直接访问管理后台可操作、核心业务非授权访问、 核心业务后台弱密码,增删查改任意用户敏感信息或状态等核心交互的越权行为;
3) 敏感信息泄漏漏洞。包括但不限于源代码压缩包泄漏、越权或者直接获取大量用户、员工信息,或者可获取大量用户的身份信息、订单信息、银行卡信息等接口问题引起的敏感信息泄露;
4) 可远程获取客户端权限的漏洞。包括但不限于远程任意命令执行、可进内网获取数据的SSRF、远程缓冲区溢出及其它逻辑问题导致的客户端漏洞。核心系统重要页面的存储型 XSS(包括存储型DOM-XSS)以及可获取核心cookie等敏感信息且具有传播性的各种 XSS。
中危漏洞 100-500
1) 普通信息泄露。包括但不限于未涉及敏感数据的 SQL 注入、影响数据量有限或者敏感程度有限的越权、源代码或系统日志等信息泄露;
2) 需受害者交互或其他前置条件才能获取用户身份信息的漏洞。包括但不限于包含用户、网站敏感数据的JSON Hijacking、重要业务操作(如支付类操作、发布信息或修改个人账号敏感信息类操作)的 CSRF、一般业务存储型 XSS;
3) 普通的逻辑缺陷和越权。包括但不限于一般业务系统的越权行为和设计缺陷
4) 可攻击的XSS类攻击
5) 不涉及云集账号系统的暴力破解漏洞或账户系统的可撞库接口
低危漏洞 50-200
1) 轻微信息泄露,包括但不限于路径、SVN 信息泄露、和含有少量敏感字段的调试信息,本地 SQL 注入、日志打印及配置等泄露情况
2) 只在特定情况之下才能获取用户信息的漏洞,包括但不限于反射XSS(包括 DOM 型)、边缘业务的存储 XSS
3) 利用场景有限的漏洞,包括但不限于短信、URL跳转、非云集系统的可撞库接口等
4) 利用有难度但存在安全隐患的漏洞,包括但不限于可引起传播的 Self-XSS,登录接口缺陷,敏感操作但利用条件CSRF
忽略
1) 无法利用/无实际危害的漏洞
2) 不能重现的漏洞,包括但不限于经 YSRC 审核者多次确认无法重现的漏洞
3) 内部已知、正在处理的漏洞,等已在其他平台公开通用的,白帽子、内部已发现的漏洞
4) SRC系统的提交接口所涉及的CSRF、越权提交等安全漏洞
5) 非接收范围内的漏洞,如非云集业务的安全漏洞
6) 实际业务安全性无影响的 Bug。包括但不限于产品功能缺陷、页面乱码、样式混乱
7) 不接收无实际意义的扫描器结果报告
三、业务范围及重要程度判断标准
涉及云集APP支付系统、账户系统、用户大量敏感信息、订单详细信息的APP,可被视为云集【核心业务】。
业务范围: 域名:*.yunjiglobal.com 云集APP 应用市场 安卓/IOS 依据漏洞实际影响,研发团队会评定奖金。
