中通安全應急響應中心漏洞評分標準V3.1正式發布啦~

主要針對以下三方面作出微調

1、業務系數說明

2、安全漏洞評級標準

3、個人季度獎勵

業務系數說明

中通SRC以業務相關性為依據，將此系數劃分為三個等級：核心應用、一般應用、邊緣應用。

【核心應用】：承載中通核心業務的系統，包括但不限于快遞超市、快遞管家、掌中通、中通快遞小程序等。

【一般應用】：承載中通非核心業務的系統，包括但不限于中通快遞官網、兔喜快遞柜、在線客服系統等。

【邊緣應用】：一般業務中的非核心業務，包含但不限于中通快遞第三方供應商提供的系統、子公司系統、網點自建系統（網點自建系統僅收包含用戶敏感信息泄露相關漏洞）等。

安全漏洞評級標準

根據漏洞的危害程度將漏洞等級分為【嚴重】、【高】、【中】、【低】、【無】五個等級。由ZSRC結合利用場景中漏洞的嚴重程度及利用難度等綜合因素給予相應漏洞等級，每種等級包含的評分標準及漏洞類型如下：

1、嚴重漏洞

（1）直接獲取系統權限（服務器權限、客戶端權限）的漏洞。包括但不限于遠程命令執行、代碼執行、任意文件上傳獲取Webshell、緩沖區溢出、SQL注入獲取系統權限等；

（2）嚴重級別的敏感信息泄露。包括但不限于核心DB（身份、交易相關）的 SQL 注入，可獲取大量用戶的身份信息、訂單信息等接口問題引起的敏感信息泄露。（能泄露敏感信息三元組（姓名、聯系方式、地址）三個月內數據200w以上，單一敏感數據800w以上）；

（3）涉及支付相關漏洞包括但不限于：嚴重的邏輯錯誤、能夠大量獲取利益造成公司、用戶損失的漏洞

（4）生產業務系統嚴重的邏輯設計缺陷和流程缺陷。包括但不僅限于任意賬號登錄、任意賬號密碼修改、任意賬號資金消費、交易支付方面嚴重的問題等。

2、高危漏洞

（1）重要敏感信息泄露。包括但不僅限于非核心DB的SQL 注入、重要源代碼壓縮包泄漏、可直接利用的敏感數據泄露等；

（2）敏感信息越權訪問，包括但不僅限于繞過認證直接訪問管理后臺、后臺弱密碼、任意訂單查看、任意用戶敏感信息訪問、支持多種協議可獲取大量內網敏感信息的 SSRF 等；

（3）直接獲取移動客戶端權限。包括但不僅限于遠程命令執行、任意代碼執行等；

（4）越權敏感操作。包括但不僅限于賬號越權修改重要信息、進行訂單普通操作、重要業務配置修改、查看敏感數據等較為重要的越權行為（能泄露敏感信息三元組（姓名、聯系方式、地址）三個月內數據20w以上，單一敏感數據100w以上）；

（5）大范圍影響用戶的其他漏洞。包括但不僅限于可造成自動傳播的存儲型XSS和涉及交易、資金、密碼的CSRF等。

3、中危漏洞

（1）需交互方可影響用戶的漏洞。包括但不僅限于存儲型XSS、CSRF等；

（2）普通信息泄漏。包括但不僅限于未涉及敏感數據的SQL注入，數據量有限且敏感程度有限的越權、數據量有限的內部服務器（無法登錄證明）賬號密碼泄露、郵箱賬號密碼泄露等；

（3）普通的內網SSRF；

（4）普通越權操作，包括但不僅限于未經嚴格校驗的取消訂單功能、越權刪除地址、不安全的直接對象引用，一般業務系統的越權行為等；

4、低危漏洞

（1）信息泄露。包括但不僅限于SVN 信息泄漏、phpinfo、本地日志等；

（2）存在安全隱患，但利用難度較大的漏洞。包括但不僅限于難以利用的 SQL注入點、可引起傳播和利用的Self-XSS、需構造部分參數且有一定影響的CSRF、需要用戶連續交互的敏感安全漏洞等；

（3）URL跳轉等一般風險、危害較小的安全問題；

（4）非重要賬號體系的撞庫、爆破等問題；

（5）只在特定情況之下才能獲取用戶信息的漏洞，包括但不限于反射XSS。

5、無影響

（1）不涉及安全問題的Bug。包括但不僅限于產品功能缺陷、網頁亂碼、樣式混亂、靜態文件目錄遍歷、應用兼容性等問題；

（2）無法利用的漏洞。包括但不僅限于 Self-XSS、無敏感操作的CSRF、無意義的異常信息泄漏、內網IP 地址/域名泄漏；

（3）無法重現的漏洞。包括但不僅限于純屬用戶猜測、未經過驗證的問題、無法實際危害證明的掃描器結果；

（4）非接收范圍內的漏洞，如非中通業務/已解除商務合作關系的安全漏洞；

（5）內部已知、正在處理的漏洞。包括但不限于如Discuz等已在其他平臺公開通用的，白帽子、內部已發現的漏洞。

個人季度獎勵

獎勵細則：