中通安全應(yīng)急響應(yīng)中心漏洞評(píng)分標(biāo)準(zhǔn)V3.1正式發(fā)布啦~

主要針對(duì)以下三方面作出微調(diào)

1、業(yè)務(wù)系數(shù)說明

2、安全漏洞評(píng)級(jí)標(biāo)準(zhǔn)

3、個(gè)人季度獎(jiǎng)勵(lì)

業(yè)務(wù)系數(shù)說明

中通SRC以業(yè)務(wù)相關(guān)性為依據(jù)，將此系數(shù)劃分為三個(gè)等級(jí)：核心應(yīng)用、一般應(yīng)用、邊緣應(yīng)用。

【核心應(yīng)用】：承載中通核心業(yè)務(wù)的系統(tǒng)，包括但不限于快遞超市、快遞管家、掌中通、中通快遞小程序等。

【一般應(yīng)用】：承載中通非核心業(yè)務(wù)的系統(tǒng)，包括但不限于中通快遞官網(wǎng)、兔喜快遞柜、在線客服系統(tǒng)等。

【邊緣應(yīng)用】：一般業(yè)務(wù)中的非核心業(yè)務(wù)，包含但不限于中通快遞第三方供應(yīng)商提供的系統(tǒng)、子公司系統(tǒng)、網(wǎng)點(diǎn)自建系統(tǒng)（網(wǎng)點(diǎn)自建系統(tǒng)僅收包含用戶敏感信息泄露相關(guān)漏洞）等。

安全漏洞評(píng)級(jí)標(biāo)準(zhǔn)

根據(jù)漏洞的危害程度將漏洞等級(jí)分為【嚴(yán)重】、【高】、【中】、【低】、【無】五個(gè)等級(jí)。由ZSRC結(jié)合利用場(chǎng)景中漏洞的嚴(yán)重程度及利用難度等綜合因素給予相應(yīng)漏洞等級(jí)，每種等級(jí)包含的評(píng)分標(biāo)準(zhǔn)及漏洞類型如下：

1、嚴(yán)重漏洞

（1）直接獲取系統(tǒng)權(quán)限（服務(wù)器權(quán)限、客戶端權(quán)限）的漏洞。包括但不限于遠(yuǎn)程命令執(zhí)行、代碼執(zhí)行、任意文件上傳獲取Webshell、緩沖區(qū)溢出、SQL注入獲取系統(tǒng)權(quán)限等；

（2）嚴(yán)重級(jí)別的敏感信息泄露。包括但不限于核心DB（身份、交易相關(guān)）的 SQL 注入，可獲取大量用戶的身份信息、訂單信息等接口問題引起的敏感信息泄露。（能泄露敏感信息三元組（姓名、聯(lián)系方式、地址）三個(gè)月內(nèi)數(shù)據(jù)200w以上，單一敏感數(shù)據(jù)800w以上）；

（3）涉及支付相關(guān)漏洞包括但不限于：嚴(yán)重的邏輯錯(cuò)誤、能夠大量獲取利益造成公司、用戶損失的漏洞

（4）生產(chǎn)業(yè)務(wù)系統(tǒng)嚴(yán)重的邏輯設(shè)計(jì)缺陷和流程缺陷。包括但不僅限于任意賬號(hào)登錄、任意賬號(hào)密碼修改、任意賬號(hào)資金消費(fèi)、交易支付方面嚴(yán)重的問題等。

2、高危漏洞

（1）重要敏感信息泄露。包括但不僅限于非核心DB的SQL 注入、重要源代碼壓縮包泄漏、可直接利用的敏感數(shù)據(jù)泄露等；

（2）敏感信息越權(quán)訪問，包括但不僅限于繞過認(rèn)證直接訪問管理后臺(tái)、后臺(tái)弱密碼、任意訂單查看、任意用戶敏感信息訪問、支持多種協(xié)議可獲取大量?jī)?nèi)網(wǎng)敏感信息的 SSRF 等；

（3）直接獲取移動(dòng)客戶端權(quán)限。包括但不僅限于遠(yuǎn)程命令執(zhí)行、任意代碼執(zhí)行等；

（4）越權(quán)敏感操作。包括但不僅限于賬號(hào)越權(quán)修改重要信息、進(jìn)行訂單普通操作、重要業(yè)務(wù)配置修改、查看敏感數(shù)據(jù)等較為重要的越權(quán)行為（能泄露敏感信息三元組（姓名、聯(lián)系方式、地址）三個(gè)月內(nèi)數(shù)據(jù)20w以上，單一敏感數(shù)據(jù)100w以上）；

（5）大范圍影響用戶的其他漏洞。包括但不僅限于可造成自動(dòng)傳播的存儲(chǔ)型XSS和涉及交易、資金、密碼的CSRF等。

3、中危漏洞

（1）需交互方可影響用戶的漏洞。包括但不僅限于存儲(chǔ)型XSS、CSRF等；

（2）普通信息泄漏。包括但不僅限于未涉及敏感數(shù)據(jù)的SQL注入，數(shù)據(jù)量有限且敏感程度有限的越權(quán)、數(shù)據(jù)量有限的內(nèi)部服務(wù)器（無法登錄證明）賬號(hào)密碼泄露、郵箱賬號(hào)密碼泄露等；

（3）普通的內(nèi)網(wǎng)SSRF；

（4）普通越權(quán)操作，包括但不僅限于未經(jīng)嚴(yán)格校驗(yàn)的取消訂單功能、越權(quán)刪除地址、不安全的直接對(duì)象引用，一般業(yè)務(wù)系統(tǒng)的越權(quán)行為等；

4、低危漏洞

（1）信息泄露。包括但不僅限于SVN 信息泄漏、phpinfo、本地日志等；

（2）存在安全隱患，但利用難度較大的漏洞。包括但不僅限于難以利用的 SQL注入點(diǎn)、可引起傳播和利用的Self-XSS、需構(gòu)造部分參數(shù)且有一定影響的CSRF、需要用戶連續(xù)交互的敏感安全漏洞等；

（3）URL跳轉(zhuǎn)等一般風(fēng)險(xiǎn)、危害較小的安全問題；

（4）非重要賬號(hào)體系的撞庫、爆破等問題；

（5）只在特定情況之下才能獲取用戶信息的漏洞，包括但不限于反射XSS。

5、無影響

（1）不涉及安全問題的Bug。包括但不僅限于產(chǎn)品功能缺陷、網(wǎng)頁亂碼、樣式混亂、靜態(tài)文件目錄遍歷、應(yīng)用兼容性等問題；

（2）無法利用的漏洞。包括但不僅限于 Self-XSS、無敏感操作的CSRF、無意義的異常信息泄漏、內(nèi)網(wǎng)IP 地址/域名泄漏；

（3）無法重現(xiàn)的漏洞。包括但不僅限于純屬用戶猜測(cè)、未經(jīng)過驗(yàn)證的問題、無法實(shí)際危害證明的掃描器結(jié)果；

（4）非接收范圍內(nèi)的漏洞，如非中通業(yè)務(wù)/已解除商務(wù)合作關(guān)系的安全漏洞；

（5）內(nèi)部已知、正在處理的漏洞。包括但不限于如Discuz等已在其他平臺(tái)公開通用的，白帽子、內(nèi)部已發(fā)現(xiàn)的漏洞。

個(gè)人季度獎(jiǎng)勵(lì)

獎(jiǎng)勵(lì)細(xì)則：