金山云安全应急响应中心(KYSRC)

金山云SRC与您一起共同打造健康安全的网络空间

提交漏洞

KYSRC漏洞等级评定标准

漏洞等级评级标准

漏洞等级评定标准依据为CVSS v3(Common Vulnerability Scoring   System,即“通用漏洞评分系统”),根据漏洞对系统机密性(C)、完整性(I)、可用性(A)影响,将漏洞等级分为【严重】、【高危】、【中危】、【低危】、【无影响】五个等级。审核人员收到漏洞报告后,根据漏洞等级及漏洞报告清晰性、完整性、详细性对报告者进行相应奖励。


严重

1.直接获取核心系统权限(服务器/客户端权限)的漏洞,包括但不限于上传WebShell、任意代码执行、远程命令执行、SQL注入获取核心系统权限等;

2.核心系统严重的信息泄露漏洞,包括但不限于核心DB的SQL注入、大量用户严重敏感身份信息泄露(至少包含3个敏感字段:姓名/身份证、银行卡信息、手机号/邮箱、密码、地址)、企业内部核心数据泄露等;

3.核心系统严重的逻辑设计或流程缺陷,包括但不限于批量修改任意账号密码漏洞、任意账号资金消费、任意金额修改的支付漏洞等;

4.严重影响核心系统可用性的漏洞,如可直接导致核心系统业务瘫痪的拒绝服务漏洞;

高危

1.直接获取重要业务系统权限(服务器/客户端权限)的漏洞。包括但不限于任意命令执 行、上传webshell、任意代码执行、SQL注入获取核心系统权限等;

2.直接导致重要信息泄漏的漏洞。包括但不限于重要DB的SQL注入漏洞;重要业务大量源码泄露;可对内网进行访问的SSRF漏洞。

3.严重的越权访问。包括但不限于绕过认证访问重要系统后台;越权访问、修改、删除用户敏感信息等操作行为。


中危

1.需交互才能获取用户身份信息的漏洞。包括但不限于核心及重要系统存储型XSS漏洞;敏感操作(支付类、账号信息类等)的CSRF;

2.任意文件操作漏洞。包括但不限于任意文件读、写、删除、上传、下载等操作;

3.普通的越权访问。包括但不限于绕过限制修改用户资料、执行用户操作、读取用户信息;绕过限制访问非核心业务系统后台;

4.比较严重的信息泄漏漏洞。包括但不限于未涉及重要数据的SQL注入和未授权访问;影响范围有限的敏感文件泄露(如DB连接密码)和账号(如普通用户、测试用户等)弱口令。


低危

1.反射型XSS;非重要系统存储型XSS;

2.危害有限的越权操作(如越权清空/添加购物车等);

3.轻微信息泄漏。包括但不限于Phpinfo;非核心系统的SVN信息泄露;非重要信息的泄露(如不能利用的DB连接密码等);客户端应用本地SQL注入;

4.难以利用但存在安全隐患的漏洞。包括但不仅限于难以利用的SQL注入点;客户端本地拒绝服务;特定条件、特定环境下的漏洞(如短信、邮箱轰炸、URL重定向);

5.存在安全隐患但利用条件极为苛刻的漏洞,包括但不限于针对某个特定版本的浏览器才能触发的漏洞、需要特殊配置才能触发的漏洞。


无影响

1.不涉及安全问题的漏洞,包括但不限于网站产品功能缺陷、页面乱码、样式混编,登陆处URL跳转等;

2.无法利用、无法复现、不能产生实际危害的漏洞;

3.其他对金山云业务无影响的问题。

其他不在细分类型里的问题,根据实际危害及CVSS进行综合评价。CVSS风险评估模型参:https://www.vulbox.com/faq#leakMark

测试范围

金山云网站  :*.ksyun.com

备注:

1.不在上述范围内的站点或IP一经确认属于金山云,奖励方案同样适用;

2.金山云上用户的漏洞,不在收录范围内;

3.金山云投资的公司以及与金山云无关的漏洞,不在收录范围内;

4.不属于金山云企业资产范围的漏洞,将转交到漏洞盒子互联网漏洞流程处理。

5.涉及第三方系统、经确认不属于金山云实际业务的漏洞,不在收录范围内。


漏洞奖励方案

级别 奖励范围
严重 ¥2200-¥3000
高危 ¥1200-¥1400
中危 ¥500-¥700
低危 ¥50-¥100


漏洞评定通用原则:

1.弱口令问题:同一套系统多个用户弱口令问题只确认第一个,后续提交算重复漏洞;同一个用户弱口令可登陆不同系统,算同一漏洞,合并处理。

2.对于SQL注入漏洞,须注出其中一条数据证明危害。严禁拖库表。单纯报错无危害证明将会被忽略。

3.无特别声明情况下,前后关联漏洞合并处理,按级别最高的漏洞进行奖励,如先提交弱口令进入后台/内网漏洞,后提交进入后台/内网的SQL注入、越权漏洞。后提交的SQL、越权漏洞均合并处理,审核员会与金山云沟通是否允许继续深入测试该系统。如厂商许可,可正常测试,发现问题可单独提交。

4.同一个漏洞源产生的多个漏洞计漏洞数量为一,按级别最高的漏洞进行奖励。

5.对于边缘/废弃业务系统,根据实际情况降级处理。

6.对于利用条件苛刻的漏洞,根据实际情况降级处理。

7.严重敏感身份信息定义:

至少包含3个敏感字段:姓名/身份证、银行卡信息、手机号/邮箱、密码、地址

对于不满足上述条件的信息,将视信息的敏感程度降级处理。

8.对于已获取系统权限(如webshell),禁止下载源代码审计。请事先联系审核员,审核员将会与金山云沟通相关事宜,如果金山云同意审计,再进行后续操作,发现漏洞可单独提交。否则,其行为将视为违规操作,一经发现行冻结账户。金山云视情况严重程度,保留追究法律责任的权利。


厂商保护机制

如果同一个系统中短时间发现了大量的同类型高危漏洞(如SQL注入、越权等),审核员判定该系统几乎没有做任何防护,会与厂商沟通该系统的该类型漏洞是否要继续收取;若厂商表示该类漏洞已知不再收取,则平台方正常审核前三个该类型漏洞,其他同类型漏洞均降级处理,并发布通知同系统同类型漏洞均不再收取,直到厂商修复后重新开放该漏洞类型收取。