• BILISRC 漏洞处理和评分标准


      BILISRC 漏洞处理和评分标准 V1.3.docx https://security.bilibili.com/static/docs/BILISRC_V1.3.pdf

    撰写 哔哩哔哩安全应急响应中心 文档版本 1.3 更新日期 2020-09-28

    根据漏洞的危害程度将漏洞等级分为【严重】、【高危】、【中危】、【低危】、【无效】五
    个等级。每个漏洞基础经验值最高为 10,由 BILISRC 结合利用场景中漏洞的严重程度、利用
    难度等综合因素给予相应分值的经验值、安全币和漏洞定级,部分边缘业务的安全漏洞根据具
    体情况可能进行降级或忽略。每种等级包含的评分标准及漏洞类型如下:
    【严重】经验值 9~10 / 安全币 500~1000
    1. 直接获取核心系统权限的漏洞(服务器权限、PC 客户端权限)。包括但不仅限于远程
    命令执行、任意代码执行、上传获取 Webshell、SQL 注入获取系统权限、缓冲区溢
    出。
    2. 严重的敏感信息泄漏。包括但不仅限于核心 DB(资金、身份、交易相关) 的 SQL 注
    入,可获取大量核心用户的身份信息、订单详细信息、银行卡详细信息等接口问题引
    起的核心敏感信息泄露。
    3. 严重的逻辑设计缺陷和流程缺陷。包括但不仅限于通过核心业务接口无限制任意账号
    资金消费、批量修改任意帐号密码漏洞、
    【高危】经验值 6~8 / 安全币 200~400
    1. 敏感信息泄漏。包括但不仅限于非核心 DB SQL 注入、源代码压缩包泄漏、服务器应
    用加密可逆或明文、移动 API 访问摘要、硬编码等问题引起的敏感信息泄露。
    2. 敏感信息越权访问。包括但不仅限于绕过认证直接访问管理后台、后台弱密码、获取
    大量内网敏感信息的 SSRF。
    3. 直接导致业务拒绝服务的漏洞。包括但不仅限于直接导致移动网关业务 API 业务拒绝
    服务、网站应用拒绝服务等造成较高影响的远程拒绝服务漏洞。
    4. 越权敏感操作。包括但不仅限于账号越权修改重要信息、进行订单普通操作、重要业
    务配置修改等较为重要的越权行为。
    5. 大范围影响用户的其他漏洞。包括但不仅限于可造成自动传播的重要页面的存储型
    XSS(包括存储型 DOM-XSS)和涉及交易、资金、密码的 CSRF。
    6. 直接获取系统权限的漏洞。包括但不仅限于远程命令执行、任意代码执行等。
    【中危】经验值 3~5 / 安全币 30~100
    1. 需交互方可影响用户的漏洞。包括但不仅限于一般页面的存储型 XSS、包括但不仅限
    于一般页面的存储型 XSS、敏感信息的 JSONP 劫持、重要操作 CSRF。
    2. 普通越权操作。包括但不仅限于不正确的直接对象引用。影响业务运行的 Broadcast
    消息伪造等 Android 组件权限漏洞等。
    3. 普通信息泄漏。包括但不仅限于客户端明文存储密码、客户端密码明文传输以及 web
    路径遍历、系统路径遍历。
    4. 远程拒绝服务漏洞。包括但不仅限于客户端远程拒绝服务(解析文件格式、网络协议
    产生的崩溃),由 Android 组件权限暴露、普通应用权限引起的问题等(默认配置情
    况下)。
    5. 普通的逻辑设计缺陷和流程缺陷。
    【低危】经验值 1~2 / 安全币 10~20
    1. 本地拒绝服务漏洞。包括但不仅限于客户端本地拒绝服务(解析文件格式、网络协议
    产生的崩溃),由 Android 组件权限暴露、普通应用权限引起的问题等(默认配置情
    况下)。
    2. 轻微信息泄漏。包括但不仅限于路径信息泄漏、SVN 信息泄漏、PHPinfo、异常信息
    泄露,以及客户端应用本地 SQL 注入(仅泄漏数据库名称、字段名、cache 内容)、
    日志打印、配置信息、异常信息等。
    3. 难以利用但存在安全隐患的漏洞。包括但不仅限于难以利用的 SQL 注入点、可引起传
    播和能够利用的 Self-XSS、URL 跳转、反射型 XSS 漏洞。

  • 相关阅读:
    @Schedule注解中的Cron表达式读取properties的方法
    antdv 使用单文件方式递归生成菜单
    git 新建分支并将代码推送到远程
    echarts 饼图 pie label 颜色自定义
    关于bootstrapValidator 表单校验remote出现两次重复提交才能验证通过问题处理
    bootstrap table实现x-editable的行单元格编辑及解决数据Empty的问题
    element-ui 弹出组件的遮罩层在弹出层dialog模态框的上面
    vue cli 3.0 用axios 调用本地json数据一直报404
    vue项目webpack打包部署到tomcat时,访问成功,但是刷新后页面报404
    select2的使用
  • 原文地址:https://www.cnblogs.com/rsapaper/p/14715227.html
Copyright © 2020-2023  润新知