携程安全应急响应中心

SRC 安全漏洞评分标准 161128

公告编号:CSRC-2016-0003

公告来源:CSRC

发布日期:2015-06-16


           

CSRC采用携程币作为货币单位,1携程币=1RMB。

Ctrip应用系统重要性分级标准

1、核心应用:用户和支付类等基础业务、机票、酒店、旅游、礼品卡、邮轮,评分为:10

2、一般应用:火车票、汽车票、用车、门票、团购、攻略、全球购、商旅  评分:7

3、边缘应用:积分商城、合作卡、订餐、鸿鹄旅游、铁友、艺龙、去哪儿、智行火车票,评分:5


携程币对应表携程币的=系统重要性*漏洞严重性:

系统重要性/漏洞严重性严重漏洞(100-300)高危漏洞(30-80)中危漏洞(10-25)低危漏洞(1-10)
核心应用(10)1000-3000300-800100-25010-100
一般应用(7)700-2100210-56070-1757-70
边缘应用(5)500-1500150-40050-1255-50


漏洞严重性分级:

严重

1、直接获取系统权限的漏洞。包括但不仅限于命令执行、代码执行、获取WebshellSQL注入获取系统权限、缓冲区溢出。

2、直接导致业务拒绝服务的漏洞。包括但不仅限于利用漏洞或业务逻辑漏洞直接导致系统业务不可用。

3严重的敏感信息泄漏。包括但不仅限于核心 DB(资金、用户身份、订单) 的 SQL 注入,可获取大量核心用户的身份信息、订单信息、银行卡信息等接口问题引起的敏感信息泄露。

4、严重的逻辑设计缺陷和流程缺陷。包括但不仅限于通过业务接口批量发送任意伪造消息、任意账号资金消费、批量修改任意帐号密码漏洞。

本等级包括:

1、敏感信息泄漏。包括但不仅限于遍历导致大量敏感数据泄露、非核心DB SQL注入、源代码压缩包泄漏、硬编码密码等问题引起的敏感信息泄露。

2、敏感信息越权访问。包括但不仅限于绕过认证直接访问管理后台、后台弱密码、获取大量内网敏感信息。

3、直接获取移动客户端权限。包括但不仅限于远程命令执行、任意代码执行。

4、越权敏感操作。包括但不仅限于账号越权修改重要信息、进行订单普通操作、重要业务配置修改等较为重要的越权行为。

5、大范围影响用户的其他漏洞。包括但不仅限于可造成自动传播的重要页面的存储型XSS(包括存储型DOM-XSS)和涉及交易、资金、密码

本等级包括:

1需交互方可影响用户的漏洞。包括但不仅限于一般页面的存储型XSS。

2、普通越权操作。包括但不仅限于不正确的直接对象引用、越权查看订单信息、越权查看用户身份信息等。

3普通信息泄漏。包括但不仅限于客户端明文存储密码、系统路径遍历。

4、普通的逻辑设计缺陷和流程缺陷。

本等级包括:

1、本地拒绝服务漏洞。包括但不仅限于客户端本地拒绝服务。

2、普通CSRF。

3、轻微信息泄漏。包括但不仅限于路径信息泄漏、SVN信息泄漏、异常信息泄露,以及客户端应用本地SQL注入(仅泄漏数据库名称、字段名cache内容)、日志打印、配置信息、异常信息等。

4难以利用但存在安全隐患的漏洞。包括但不仅限于难以利用的SQL注入点,客户端密码明文传输。

本等级包括:

1、不涉及安全问题的 Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性等问题。

2、无法利用的漏洞。无敏感操作的 CSRF、无意义的异常信息泄漏、内网 IP 地址/域名泄漏。

3、不能直接反映漏洞存在的其他问题。包括但不仅限于纯属用户猜测的问题。


额外奖励:

1、漏洞影响系统在以上范围之外可计算额外奖励,视具体情况而定。

2、漏洞所涉及系统为核心应用并且漏洞严重等级为严重可计算额外奖励,视具体情况而定,范围在2000-10000之间。

推荐文章: 邀请您加入CSRC白帽子QQ交流群   阅读量:4782