拍拍贷SRC（PPDSRC）漏洞等级评级标准

高危

1、直接获取业务服务器权限的漏洞。包括但不限于任意命令执 行、上传webshell、任意代码执行、SQL注入获取系统权限、缓冲区溢出。

2、严重的敏感信息泄漏(除撞库行为或者通过暴力提交行为的部分信息)。包括但不仅限于核心 DB（资金、用户身份、订单） 的 SQL 注入，可获取大量核心用户的身份信息、订单信息、银行卡信息等接口问题引起的敏感信息泄露。

3、严重的逻辑设计缺陷和流程缺陷。包括但不仅限于通过业务接口批量发送任意伪造消息、任意账号资金消费、批量修改任意帐号密码漏洞。

4、敏感信息越权访问。包括但不仅限于绕过认证直接访问管理后台、后台弱密码、获取大量内网敏感信息。

5、越权敏感操作。包括但不仅限于账号越权修改重要信息、进行订单操作、重要业务配置修改等较为重要的越权行为。

6、大范围影响用户的其他漏洞。包括但不仅限于可造成自动传播的重要页面的存储型XSS和涉及交易、资金、密码。

7、公司内部重要数据泄露。

中危

1、需交互方可影响用户的漏洞。包括但不仅限于一般页面的存储型XSS、重要敏感操作的 CSRF、SSRF。

2、普通越权操作。包括但不仅限于不正确的直接对象引用、越权查看订单信息、越权查看用户身份信息等。

3、普通信息泄漏。包括但不仅限于客户端明文存储密码、web路径遍历、系统路径遍历。

4、普通的逻辑设计缺陷和流程缺陷。

低危

1、移动客户端安全问题

2、轻微信息泄漏。包括但不仅限于路径信息泄漏、SVN信息泄漏、异常信息泄露，以及客户端应用本地SQL注入（仅泄漏数据库名称、字段名、cache内容）、日志打印、配置信息、异常信息等。

3、难以利用但存在安全隐患的漏洞。包括但不仅限于难以利用的SQL注入点、需构造部分参数且有一定影响的CSRF、SSRF。

4、对他人造成短信轰炸影响。

备注:

以上三个级别问题不包括

1、不涉及安全问题的Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性等问题。

2、无法利用的漏洞。无敏感操作的 CSRF、SSRF、无意义的异常信息泄漏、内网IP地址/域名泄漏。

3、不能直接反映漏洞存在的其他问题。包括但不仅限于纯属用户猜测的问题。

其他不在细分类型里的问题，根据实际危害及CVSS进行综合评价。CVSS风险评估模型参：https://www.vulbox.com/faq#leakMark；

漏洞奖励方案

漏洞评定通用原则:

1.弱口令问题：同一套系统多个用户弱口令问题只确认第一个，后续提交算重复漏洞；同一个用户弱口令可登陆不同系统，算同一漏洞，合并处理。

2.对于SQL注入漏洞，须注出其中一条数据证明危害。严禁拖库表。单纯报错无危害证明将会被忽略。

3.无特别声明情况下，前后关联漏洞合并处理，如先提交弱口令进入后台/内网漏洞，后提交进入后台/内网的SQL注入、越权漏洞。后提交的SQL、越权漏洞均合并处理，审核员会与厂商沟通是否允许继续深入测试该系统。如厂商许可，可正常测试，发现问题可单独提交。

4.同一个漏洞源产生的多个漏洞计漏洞数量为一，同一站点的同一功能模块下的越权点，合并为同一越权漏洞。

5.对于边缘/废弃业务系统，根据实际情况酌情降级，奖励金额乘以实际影响系数。

6.严重敏感身份信息定义：

至少包含3个敏感字段：姓名/身份证、银行卡信息、手机号/邮箱、密码、地址

对于不满足上述条件的信息，将视信息的敏感程度降级处理。

7.对于已获取系统权限（如webshell），禁止下载源代码审计。请事先联系审核员，审核员将会与厂商沟通相关事宜，如果厂商同意审计，再进行后续操作，发现漏洞可单独提交。否则，其行为将视为违规操作，一经发现行冻结账户。厂商视情况严重程度，保留追究法律责任的权利。

厂商保护机制

如果同一个系统中短时间发现了大量的同类型高危漏洞（如SQL注入、越权等），审核员判定该系统几乎没有做任何防护，会与厂商沟通该系统的该类型漏洞是否要继续收取；若厂商表示该类漏洞已知不再收取，则平台方正常审核前三个该类型漏洞，其他同类型漏洞均降级处理，并发布通知同系统同类型漏洞均不再收取，直到厂商修复后重新开放该漏洞类型收取。