漏洞等级评级标准

漏洞等级评定标准依据为CVSS v3(Common Vulnerability Scoring System，即“通用漏洞评分系统”)，根据漏洞对系统机密性（C）、完整性(I)、可用性(A)影响，将漏洞等级分为【严重】、【高危】、【中危】、【低危】、【无影响】五个等级。审核人员收到漏洞报告后，根据漏洞等级及漏洞报告清晰性、完整性、详细性对报告者进行相应奖励。

严重

1. 直接获取核心系统权限（服务器/客户端权限）的漏洞，包括但不限于上传WebShell、任意代码执行、远程命令执行、SQL注入获取核心系统权限等；

2. 核心系统严重的信息泄露漏洞，包括但不限于核心DB的SQL注入、大量用户严重敏感身份信息泄露（至少包含3个敏感字段：姓名/身份证、银行卡信息、手机号/邮箱、密码、地址）、企业内部核心数据泄露等；

3. 核心系统严重的逻辑设计或流程缺陷，包括但不限于批量修改任意账号密码漏洞、任意账号资金消费、任意金额修改的支付漏洞等；

4.严重影响核心系统可用性的漏洞，如可直接导致核心系统业务瘫痪的拒绝服务漏洞；

高危

1. 直接获取重要业务系统权限（服务器/客户端权限）的漏洞。包括但不限于任意命令执 行、上传webshell、任意代码执行、SQL注入获取核心系统权限等；

2. 直接导致重要信息泄漏的漏洞。包括但不限于重要DB的SQL注入漏洞；重要业务大量源码泄露；可对内网进行访问的、利用其获取敏感信息的SSRF漏洞。

3. 严重的越权访问。包括但不限于绕过认证访问重要系统后台；越权访问、修改、删除用户敏感信息等操作行为。

中危

1. 需交互才能获取用户身份信息的漏洞。包括但不限于核心及重要系统存储型XSS漏洞；敏感操作（支付类、账号信息类等）的CSRF；

2. 任意文件操作漏洞。包括但不限于任意文件读、写、删除、上传、下载等操作；

3. 普通的越权访问。包括但不限于绕过限制修改用户资料、执行用户操作、读取用户信息；绕过限制访问非核心业务系统后台；

4. 比较严重的信息泄漏漏洞。包括但不限于未涉及重要数据的SQL注入和未授权访问；影响范围有限的敏感文件泄露（如DB连接密码）和账号（如普通用户、测试用户等）弱口令。

低危

1. 反射型XSS；非重要系统存储型XSS；

2. 危害有限的越权操作（如越权清空/添加购物车等）；

3. 轻微信息泄漏。包括但不限于Phpinfo；非核心系统的SVN信息泄露；非重要信息的泄露（如不能利用的DB连接密码等）；客户端应用本地SQL注入；

4. 难以利用但存在安全隐患的漏洞。包括但不仅限于难以利用的SQL注入点；客户端本地拒绝服务；特定条件、特定环境下的漏洞（如短信、邮箱轰炸、URL重定向）；

5. 存在安全隐患但利用条件极为苛刻的漏洞，包括但不限于针对某个特定版本的浏览器才能触发的漏洞、需要特殊配置才能触发的漏洞。

无影响

1.不涉及安全问题的漏洞，包括但不限于网站产品功能缺陷、页面乱码、样式混编，登陆处URL跳转等；

2.无法利用、无法复现、不能产生实际危害的漏洞；

3.其他对金山云业务无影响的问题。

其他不在细分类型里的问题，根据实际危害及CVSS进行综合评价。CVSS风险评估模型参：https://www.vulbox.com/faq#leakMark；

测试范围

金山云网站  ：*.ksyun.com

备注：

1.不在上述范围内的站点或IP一经确认属于金山云，奖励方案同样适用；

2.金山云上用户的漏洞，不在收录范围内；

3.金山云投资的公司以及与金山云无关的漏洞，不在收录范围内；

4.不属于金山云企业资产范围的漏洞，将转交到漏洞盒子互联网漏洞流程处理。

5.涉及第三方系统、经确认不属于金山云实际业务的漏洞，不在收录范围内。

6. 主机系统实际控制权不属于金山云的，不在收录范围内；

7. 对于测试环境、系统，根据实际情况降级处理；

8. 展示环境、系统未部署实际业务，根据实际情况降级处理。

漏洞奖励方案

漏洞评定通用原则:

1.弱口令问题：同一套系统多个用户弱口令问题只确认第一个，后续提交算重复漏洞；同一个用户弱口令可登陆不同系统，算同一漏洞，合并处理。

2.对于SQL注入漏洞，须注出其中一条数据证明危害。严禁拖库表。单纯报错无危害证明将会被忽略。

3.无特别声明情况下，前后关联漏洞合并处理，按级别最高的漏洞进行奖励，如先提交弱口令进入后台/内网漏洞，后提交进入后台/内网的SQL注入、越权漏洞。后提交的SQL、越权漏洞均合并处理，审核员会与金山云沟通是否允许继续深入测试该系统。如厂商许可，可正常测试，发现问题可单独提交。

4.同一个漏洞源产生的多个漏洞计漏洞数量为一，web层面上同一域名或IP下均属同一漏洞源，漏洞奖励按级别最高的漏洞进行奖励。

5.对于边缘/废弃业务系统，根据实际情况降级处理。

6.对于利用条件苛刻的漏洞，根据实际情况降级处理。

7.严重敏感身份信息定义：

至少包含3个敏感字段：姓名/身份证、银行卡信息、手机号/邮箱、密码、地址

对于不满足上述条件的信息，将视信息的敏感程度降级处理。

8.对于已获取系统权限（如webshell），禁止下载源代码审计。请事先联系审核员，审核员将会与金山云沟通相关事宜，如果金山云同意审计，再进行后续操作，发现漏洞可单独提交。否则，其行为将视为违规操作，一经发现行冻结账户。金山云视情况严重程度，保留追究法律责任的权利。

厂商保护机制

如果同一个系统中短时间发现了大量的同类型高危漏洞（如SQL注入、越权等），审核员判定该系统几乎没有做任何防护，会与厂商沟通该系统的该类型漏洞是否要继续收取；若厂商表示该类漏洞已知不再收取，则平台方正常审核前三个该类型漏洞，其他同类型漏洞均降级处理，并发布通知同系统同类型漏洞均不再收取，直到厂商修复后重新开放该漏洞类型收取。