文档介绍：精选优质文档-----倾情为你奉上
精选优质文档-----倾情为你奉上
专心---专注---专业
专心---专注---专业
精选优质文档-----倾情为你奉上
专心---专注---专业
漏洞等级
根据漏洞的危害程度将漏洞等级分精选优质文档-----倾情为你奉上
精选优质文档-----倾情为你奉上
专心---专注---专业
专心---专注---专业
精选优质文档-----倾情为你奉上
专心---专注---专业
漏洞等级
根据漏洞的危害程度将漏洞等级分为【高】、【中】、【低】三个等级。由先知平台结合利用场景中漏洞的严重程度、利用难度等综合因素给予相应分值的贡献值和漏洞级别，每种等级包含的评分标准及漏洞类型如下：
【高】
1、直接获取系统权限的漏洞（服务器权限、PC客户端权限）。包括但不仅限于远程命令执行、任意代码执行、上传获取***、SQL注入获取系统权限、缓冲区溢出（包括可利用的ActiveX缓冲区溢出）。
2、重要的敏感信息泄漏。包括但不仅限于重要业务DB 的 SQL 注入、可获取大量企业核心业务数据等接口问题引起的敏感信息泄露。
3、严重的逻辑设计缺陷和流程缺陷。包括但不仅限于批量修改任意账号密码漏洞、涉及企业核心业务的逻辑漏洞等。
4、敏感信息越权访问。包括但不仅限于绕过认证直接访问管理后台、重要后台弱密码、获取大量内网敏感信息的SSRF等。
5、企业重要业务越权敏感操作。包括但不仅限于账号越权修改重要信息、重要业务配置修改等较为重要的越权行为。
6、大范围影响用户的其他漏洞。包括但不仅限于可造成自动传播的重要页面的存储型XSS（包括存储型DOM-XSS）。
【中】
1、需交互方可影响用户的漏洞。包括但不仅限于一般页面的存储型XSS，涉及核心业务的CSRF等。
2、普通越权操作。包括但不仅限于包括但不限于绕过限制修改用户资料、执行用户操作等。
3、普通的逻辑设计缺陷和流程缺陷。包括因为未设置验证码或者验证码未刷新导致的撞库漏洞。
4、拒绝服务漏洞。包括但不限于导致网站应用拒绝服务等造成影响的远程拒绝服务漏洞等。
【低】
1、本地拒绝服务漏洞。包括但不仅限于客户端本地拒绝服务（解析文件格式、网络协议产生的崩溃），由Android组件权限暴露、普通应用权限引起的问题等。
2、普通信息泄漏。包括但不仅限于客户端明文存储密码、以及web路径遍历、系统路径遍历等。
3、其他危害较低的漏洞。包括但不仅限于反射型 XSS（包括反射型 DOM-XSS和flash XSS）、普通CSRF、URL跳转漏洞、任意次数短信发送、任意手机号码或邮箱注册等。
评分标准通用原则
1、该标准仅适用于入驻先知平台的企业，并且只针对企业已明确说明接收漏洞的产品及业务。企业已明确说明不接收的漏洞将做驳回处理。企业已明确说明的漏洞等级调整将以企业为准。企业边缘业务将根据其重要程度适当调低漏洞等级。
精选优质文档-----倾情为你奉上
精选优质文档-----倾情为你奉上
专心---专注---专业
专心---专注---专业
精选优质文档-----倾情为你奉上
专心---专注---专业
2、各等级漏洞的最终贡献值数量由漏洞利用难度及影响范围等综合因素决定，若漏洞触发条件非常苛刻，包括但不限于特定浏览器才可