KSRC安全漏洞评分标准    时间:2013-10-23     作者:金山安全


【内容】:

KSRC将参考漏洞类型并结合业务场景,对漏洞严重程度、影响范围、利用难度等综合因素进行评估。给予漏洞定级、相应积分和贡献值。

其中漏洞等级根据技术复杂度、危害程度整体分为【严重】、【高】、【中】、【低】、【无】五个等级,
积分主要体现所提交漏洞类型的危害程度、风险等级,单个漏洞最高为10分。具体漏洞类型与评分标准请见下文。
贡献值则是结合实际业务场景中,漏洞所造成的影响范围、影响程度、利用难度等综合评估的贡献系数与漏洞积分计算而来。并作为兑换礼品的凭证。


【 严重 】
积分值【7~10】,本等级包括:
1、 直接获取系统权限的漏洞(服务器权限、客户端权限)。包括但不仅限于远程命令执行、任意代码执行、上传获取Webhell、缓冲区溢出(包括可利用的 ActiveX 缓冲区溢出)。
2、 直接导致业务拒绝服务的漏洞。包括但不仅限于远程拒绝服务漏洞。
3、 严重的敏感信息泄漏。包括但不仅限于重要 DB 的 SQL 注入漏洞。
4、 严重的逻辑设计缺陷和流程缺陷。包括但不仅限于伪造任意号码发送消息、任意账号资金消费、任意帐号密码修改漏洞。

【 高 】
积分值【5~8】,本等级包括:
1、 敏感信息泄漏。包括但不仅限于源代码压缩包泄漏、系统层面的路径遍历、服务器、应用加密可逆或明文的敏感信息泄露。
2、 越权访问。包括但不仅限于绕过认证直接访问管理后台、后台弱密码、任意文件操作。
3、 大范围影响用户的其他漏洞。包括但不仅限于可造成自动传播的存储型XSS(包括存储型DOM-XSS)、CSRF。
4、 影响到服务器的本地提权漏洞。

【 中 】
积分值【3~6】,本等级包括:
1、 需交互方可影响用户的漏洞。包括但不仅限于反射型 XSS(包括反射型 DOM-XSS)、不可自动传播的CSRF。
2、 本地拒绝服务漏洞。包括但不仅限于客户端本地拒绝服务(解析文件格式、网络协议产生的崩溃)。
3、 普通越权操作。包括但不仅限于不正确的直接对象引用。
4、 普通信息泄漏。包括但不仅限于客户端明文存储密码、客户端密码明文传输以及WEB层路径遍历。
5、 普通的逻辑设计缺陷和流程缺陷。

【 低 】
积分值【1~4】,本等级包括:
1、 轻微信息泄漏。包括但不仅限于路径信息泄漏、SVN信息泄漏、Phpinfo、异常信息泄露。
2、 URL跳转。包括但不仅限于未验证的重定向和转发。
3、 难以利用但存在安全隐患的漏洞,包括但不仅限于可引起传播和利用的 Self-XSS。

【 无 】
积分值【0~1】,本等级包括:
1、 不涉及安全问题的Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱。
2、 无法利用的漏洞。包括但不仅限于Self-XSS、无敏感操作的 CSRF、无意义的异常信息泄漏、内网 IP 地址/域名泄漏。
3、 不能直接反映漏洞存在的其他问题。包括但不仅限于纯属用户猜测的问题。


评分标准通用原则
1) 评分标准仅适用于金山软件集团及其下各公司产品和业务。与金山软件集团及其下各公司完全无关的漏洞,不计贡献值。
2) 对于非金山软件集团及其下各公司自身发布的产品和业务,如投资公司、合资公司、合作区业务,不论漏洞数量多少,积分不超过 5,等级为【低】,且无法保证能按照预定时间处理。
3) 第三方产品的漏洞仅第一个提交者计贡献值,最高不超过5分,且无法保证修复时间,包括但不限于金山软件集团范围正在使用的Wordpress、Discuz等;不同版本的同一处漏洞视为相同漏洞。
4) 非第三方的通用型问题,包括但不限于crossdomain.xml 配置不严。仅第一个提交者计贡献值且按正常贡献值双倍计分。
5) 同一个漏洞源产生的多个漏洞计漏洞数量为一。例如同一个JS引起的多个安全漏洞、同一个发布系统引起的多个页面的安全漏洞、框架导致的整站的安全漏洞、泛域名解析产生的多个安全漏洞等。
6) 各等级漏洞的最终贡献值数量由漏洞利用难度、影响范围等综合因素决定,若漏洞触发条件非常苛刻,包括但不限于特定浏览器才可触发的XSS漏洞,则可跨等级调整贡献值数量。
7) 同一漏洞,仅首位报告者计贡献值。
8) 漏洞未修复之前,被公开的漏洞不计分。
9) 报告网上已经公开的漏洞不计贡献值。
10) 同一份报告中提交多个漏洞,只按危害级别最高的漏洞计贡献值。
11) 以测试漏洞为借口,利用漏洞进行损害用户利益、影响业务运作、盗取用户数据等行为的,将不会计贡献值,同时金山软件集团保留采取进一步法律行动的权利。


争议解决办法
在漏洞报告处理过程中,如果报告者对流程处理、漏洞定级、漏洞评分等有异议,可以通过漏洞详情页面的评论功能或者通过即时通讯联系在线工作人员及时沟通。
KSRC将努力从守护广大安全白帽子的参与热情以及尊重安全爱好者们劳动成果的角度出发,尽量友好的沟通和妥善的处理误会。


返回首页 - 关于我们 - 联系我们 - 友情链接 - 合作伙伴

© CopyRight 2013-2014, KINGSOFT, Inc.All Rights Reserved.