返回公告主页

我们希望能够借助集体的力量提升我们的安全水平 

漏洞评分标准V3.0


公告编号:ASRC-2015-8

公告来源:阿里巴巴集团安全应急响应中心

发布日期:2015-5-19

公告内容:本标准自2015年5月19日起执行

贡献值、安全币计算方法

贡献值由漏洞对应用的危害程度以及应用的重要程度决定:贡献值=基础贡献值X应用系数。贡献值将用于荣誉奖励颁发。

安全币由漏洞对应用的危害程度以及应用的重要程度决定:安全币=基础安全币X应用系数。安全币将用于礼品奖励兑换。

例如:一个淘宝核心应用任意代码执行漏洞的贡献值为100,计算方法为:基础贡献值(严重:10)X应用系数(核心应用:10)。

该漏洞的安全币为600,计算方法为:基础安全币(严重:60)X应用系数(核心应用:10)。

贡献值对应表

安全币对应表

漏洞等级

根据漏洞的危害程度将漏洞等级分为【严重】、【高】、【中】、【低】、【无】五个等级。每个漏洞基础贡献值最高为10,基础安全币最高为60。 由ASRC结合利用场景中漏洞的严重程度、利用难度等综合因素给予相应分值的贡献值和漏洞定级,每种等级包含的评分标准及漏洞类型如下:

【 严重 】

额外现金奖励2万~10万(人民币):

Ø  涉及可大批量获取账号信息、控制用户权限等漏洞;

Ø  涉及可大批量获取用户敏感信息,如订单信息等漏洞;

Ø  涉及可获取重要服务器控制权限等漏洞。


基础贡献值【9~10】,基础安全币【54~60】,本等级包括:


1、直接获取核心系统权限的漏洞(服务器权限、PC客户端权限)。包括但不仅限于远程命令执行、任意代码执行、上传获取Webshell、SQL注入获取系统权限、缓冲区溢出(包括可利用的 ActiveX缓冲区溢出)。


2、直接导致业务拒绝服务的漏洞。包括但不仅限于直接导致移动网关业务API业务拒绝服务、网站应用拒绝服务等造成严重影响的远程拒绝服务漏洞。


3、严重的敏感信息泄漏。包括但不仅限于核心 DB(资金、身份、交易相关) 的 SQL 注入,可获取大量核心用户的身份信息、订单信息、银行卡信息等接口问题引起的敏感信息泄露。


4、严重的逻辑设计缺陷和流程缺陷。包括但不仅限于通过业务接口批量发送任意伪造消息、任意账号资金消费、批量修改任意帐号密码漏洞。


【 高 】

基础贡献值【6~8】,基础安全币【18~24】,本等级包括:


1、敏感信息泄漏。包括但不仅限于非核心DB SQL注入、源代码压缩包泄漏、服务器应用加密可逆或明文、移动API访问摘要、硬编码等问题引起的敏感信息泄露。


2、敏感信息越权访问。包括但不仅限于绕过认证直接访问管理后台、后台弱密码、获取大量内网敏感信息的SSRF。


3、直接获取系统权限的漏洞(移动客户端权限)。包括但不仅限于远程命令执行、任意代码执行。


4、越权敏感操作。包括但不仅限于账号越权修改重要信息、进行订单普通操作、重要业务配置修改等较为重要的越权行为。


5、大范围影响用户的其他漏洞。包括但不仅限于可造成自动传播的重要页面的存储型XSS(包括存储型DOM-XSS)和涉及交易、资金、密码、店铺的CSRF。


【 中 】

基础贡献值【3~5】,基础安全币【3~5】,本等级包括:


1、需交互方可影响用户的漏洞。包括但不仅限于一般页面的存储型XSS、反射型 XSS(包括反射型 DOM-XSS)、重要操作CSRF、URL跳转漏洞。


2、普通越权操作。包括但不仅限于不正确的直接对象引用。影响业务运行的Broadcast消息伪造等Android组件权限漏洞等。


3、普通信息泄漏。包括但不仅限于客户端明文存储密码、客户端密码明文传输以及web路径遍历、系统路径遍历。


4、普通的逻辑设计缺陷和流程缺陷。


【 低 】

基础贡献值【1~2】,基础安全币【1~2】,本等级包括:


1、本地拒绝服务漏洞。包括但不仅限于客户端本地拒绝服务(解析文件格式、网络协议产生的崩溃),由Android组件权限暴露、普通应用权限引起的问题等。


2、轻微信息泄漏。包括但不仅限于路径信息泄漏、SVN信息泄漏、PHPinfo、异常信息泄露,以及客户端应用本地SQL注入(仅泄漏数据库名称、字段名、cache内容)、日志打印、配置信息、异常信息等。


3、难以利用但存在安全隐患的漏洞。包括但不仅限于难以利用的SQL注入点、可引起传播和利用的Self-XSS、需构造部分参数且有一定影响的CSRF。


【 无 】

基础贡献值【0】,本等级包括:


1、不涉及安全问题的 Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性等问题。


2、无法利用的漏洞。包括但不仅限于Self-XSS、无敏感操作的 CSRF、无意义的异常信息泄漏、内网 IP 地址/域名泄漏。


3、不能直接反映漏洞存在的其他问题。包括但不仅限于纯属用户猜测的问题。


应用系数


根据应用的重要程度将应用等级分为【核心应用】、【一般应用】、【边缘应用】。


【Web应用】


1、核心应用系数为10,定义为:核心业务涉及会员、资金、交易、店铺的应用;


2、一般应用系数为4,定义为:核心业务中不涉及会员、资金、交易、店铺的应用,以及一般业务的核心应用;


3、边缘应用系数为1,定义为:一般业务中的非核心应用,以及由阿里巴巴集团投资公司、合资公司拥有的应用;


核心业务:淘宝、天猫、支付宝、聚划算、一淘、速卖通、阿里巴巴国际、1688、阿里妈妈、阿里云、万网、钉钉、Yunos系统等;


一般业务:使用非阿里主站域名但为阿里集团业务的应用,如淘宝大学、阿里招聘、阿里研究院、阿里公益、高德、UC、虾米、PHPwind、CNZZ、Yunos网站等。


【移动客户端应用】


1、核心应用系数为10,定义为:淘宝、天猫、支付宝、聚划算、来往、一淘、旺信、淘点点、钉钉等阿里巴巴核心业务的移动客户端应用;


2、一般应用系数为4,定义为:爱淘宝、高德地图、UC浏览器、虾米、闲鱼、淘伴、淘宝手机助手等阿里巴巴一般业务的移动客户端应用;


3、边缘应用系数为1,定义为:阿里巴巴集团边缘业务移动客户端应用以及由阿里巴巴投资公司、合资公司拥有的移动客户端应用。


评分标准通用原则


1、评分标准仅适用于阿里巴巴集团产品和业务。与阿里巴巴集团完全无关的漏洞,不计贡献值。


2、对于非阿里巴巴集团自身发布的产品和业务,如阿里巴巴集团的投资公司、合资公司、合作区业务,贡献值不超过5,等级不高于【中】,且不保证能按照预定时间处理;如果是阿里巴巴开放平台的第三方应用的漏洞,不计贡献值。


3、第三方产品的漏洞只给第一个提交者计贡献值,最高不超过5贡献值,等级不高于【中】,且不保证修复时长,包括但不限于阿里巴巴集团正在使用的WordPress、Flash插件以及Apache等服务端相关组件、OpenSSL、第三方SDK等;不同版本的同一处漏洞视为相同漏洞。


4、同一个漏洞源产生的多个漏洞计漏洞数量为一。例如 PHPwind 的安全漏洞、同一个 JS 引起的多个安全漏洞、同一个发布系统引起的多个页面的安全漏洞、框架导致的整站的安全漏洞、泛域名解析产生的多个安全漏洞等。


5、各等级漏洞的最终贡献值数量由漏洞利用难度及影响范围等综合因素决定,若漏洞触发条件非常苛刻,包括但不限于特定浏览器才可触发的XSS漏洞,则可跨等级调整贡献值数量。


6、同一漏洞,首位报告者计贡献值,其他报告者均不计。


7、在漏洞未修复之前,被公开的漏洞不计分。


8、报告网上已公开的漏洞不计贡献值。


9、同一份报告中提交多个漏洞,只按危害级别最高的漏洞计贡献值。


10、以测试漏洞为借口,利用漏洞进行损害用户利益、影响业务运作、盗取用户数据等行为的,将不会计贡献值,同时阿里巴巴集团保留采取进一步法律行动的权利。


争议解决办法

在漏洞报告处理过程中,如果报告者对流程处理、漏洞定级、漏洞评分等有异议的,可以通过漏洞详情页面的留言板或者通过即时通讯联系在线工作人员及时沟通。 ASRC将按照漏洞报告者利益优先的原则处理,必要时可引入外部安全人士共同裁定。