1.众测漏洞评估标准

1.1.业务影响范围

业务的最终影响范围根据利用难度、业务范围综合进行综合评估。信息安全部将与业务部门沟通，以共同确认业务的影响为准。

1.1.1.利用难度

利用难度分为较难利用、有条件利用和极易利用。

1.1.2.系统类别

1.2.漏洞等级评估

每个漏洞依据其漏洞发现复杂度、漏洞利用复杂度、漏洞类型等因素，分为高危、中危、低危三个等级，具体分级方法如下：

1.2.1.高危漏洞类型

1．可获取服务器权限的漏洞，包括但不限于通过任何途径实现的远程任意命令执行、任意文件上传、数据库提权等导致可获取系统权限、影响其他组件、可扩大攻击面的漏洞。

2．可造成严重信息泄漏的漏洞，包括但不限于各类SQL注入漏洞、存储型 XSS 漏洞、源代码泄漏、可获取业务数据接口、可获取内网信息的服务器端请求伪造SSRF、XXE、任意文件下载，以及其他任何可造成企业重要数据泄露的漏洞。

3．大范围影响其他用户漏洞。包括但不仅限于可造成自动传播的重要页面的存储型XSS、可获取管理员认证信息且成功利用的存储型XSS和涉及资金、密码等核心交易的CSRF。

4．可造成严重影响的逻辑漏洞。包括但不限于任意帐号密码修改、越权访问、认证绕过、非授权访问后台、业务流程缺陷、重要配置修改、会话固定、会话重放等。

5．可导致系统出现拒绝服务的漏洞。

6．移动APP权限漏洞，包括但不限于任意本地代码执行，可利用的堆栈溢出、本地提权、本地代码执行、UAF、Double Free、Format String、文件关联DLL劫持等可以获取APP非自有权限的漏洞。

7．移动APP自身存在的安全漏洞（不含Android、iOS等系统漏洞），包括但不限于存在可被导出及利用的组件、APK代码可篡改可执行、IPA完整性校验缺失等漏洞。

8．移动APP安全防护机制绕过漏洞，包括但不限于加固机制绕过、反编译机制绕过等。

9．其它可造成严重危害的漏洞。

1.2.2.中危漏洞类型

1．需同用户进行交互才可被利用的漏洞，包括但不限于存储型 XSS、JSON Hijacking、涉及重要功能的CSRF等。

2．可造成敏感信息泄露的漏洞，包含但不限于目录遍历、密钥泄露、账户信息泄露SQL注入漏洞等。

3．可造成一定影响的逻辑漏洞，包括但不限于任意修改用户资料、任意执行用户操作、任意查询用户信息等。

4．可导致系统性能损耗的漏洞，包括但不限于暴力破解、短信邮件轰炸等。

5．由第三方组件或库导致的可影响本系统安全性的漏洞。

6．可导致移动APP敏感信息泄露的漏洞（不含Android、iOS系统漏洞），包括但不限于调试信息泄露、数据库可读取可篡改、资源文件可读取可篡改、重要数据硬编码、头文件信息泄露等。

7．移动APP安全机制缺失，包括但不限于缺乏反逆向机制、缺乏反动态调试机制、未进行加固、未防止进程注入等。

8．移动APP业务逻辑漏洞，包括但不限于缺乏账户登录限制、缺乏会话注销、越权操作、存在可被利用的冗余接口等。

9．移动APP引用第三组件引起的漏洞。

10．其它可造成中等危害的漏洞。

1.2.3.低危漏洞类型

1．可造成轻微影响的信息泄露漏洞，包括但不限于重要信息明文传输、路径遍历、物理IP泄露等。

2．可造成轻微影响的逻辑漏洞，包括但不限于任意手机邮箱注册、口令规则过弱可爆破、撞库等。

3．其他可造成轻微影响的漏洞，包括但不限于URL跳转漏洞、反射型XSS（含DOM型XSS）等。

4．移动APP拒绝服务漏洞（不含Android、iOS系统漏洞），包括但不限于由组件权限、Android 组件权限暴露、普通应用权限引起的可直接结束客户端进程的漏洞。

5．移动APP自身存在的安全漏洞，包括但不限于HTML页面劫持漏、HTTPS证书未锁定漏洞、会话数据篡改等。

6．移动APP安全保护机制缺失，包括但不限于未关闭测试模式、开启任意备份功能、允许任意调试、权限配置不当、未开启堆栈保护器等。

7．其它可造成轻度危害的漏洞。

1.2.4.暂不接受漏洞类型

1．无关安全的bug。包括但不限于网页乱码、网页无法打开、某功能无法使用、无效链接。

2．无法利用的“漏洞”。包括但不限于没有经过验证的扫描器漏洞报告、Self-XSS、无敏感信息的JSON Hijacking、无敏感操作的CSRF（如收藏等）、无意义的源码泄露、内网IP地址/域名泄露、401基础认证钓鱼、程序路径信任问题、无敏感信息的logcat信息泄露。

3．SPF邮件伪造漏洞、邮件炸弹等

4．无证据的猜测。

2.漏洞奖励规则