漏洞评分由JJSRC结合实际情况如漏洞利用难度,危害范围等划分为严重、高危、中危、低危,无危害五个等级。
严重:
1. 直接获取系统权限(服务器端权限、主打产品客户端权限)的漏洞。包括但不限于:直接上传获取WebShell、远程任意命令执行、SQL 注入获取系统权限、可被利用的缓冲区溢出
2. 核心业务的逻辑漏洞。包括但不限于任意账密校验逻辑、账号登录、核心接口数据验证逻辑、任意账号密码修改、任意账号资产交易缺陷,支付系统逻辑绕过等
3. 核心的敏感信息泄露。包括但是不限于能直接盗取用户身份信息的漏洞,重要的DB(身份、资金、交易相关)的SQL注入,可直接利用的敏感数据泄露
高危:
1. 敏感信息泄露。包括但不限于可获取公司内部重要数据或用户身份信息的漏洞SQL注入,或其他的可直接利用的信息泄露漏洞
2. 涉及交易、资金、密码的可被利用的CSRF漏洞
3. 越权访问。包括但不限于绕过认证直接访问敏感管理后台,账号越权修改重要交易信息、重要业务配置修改等
中危:
1. 普通业务或者需要交互才能影响用户的漏洞,包括但不限于存储型XSS,可造成自动传播的存储型xss、JSON Hijacking、重要敏感操作的CSRF
2. 普通信息泄露。包括但不限于:个别用户认证信息泄露等
3. 普通越权操作。包括但不限于不正确的直接对象引用、身份数据篡改等
4. 直接导致拒绝服务的漏洞。包括但不限于远程应用拒绝服务漏洞
低危:
1. 轻微信息泄露。包括但不仅限于路径信息泄露、svn 信息泄露、 phpinfo等
2. 逻辑设计缺陷:包括但不仅限于图形验证码绕过
3. 难以利用但又可能存在安全隐患的问题,包括但不限于URL跳转等
4. 公司内部普通数据泄露
无危害:
1. 不涉及安全问题的 bug。包括但不仅限于产品功能缺陷、页面乱码、样式混乱、网页无法打开等
2. 无法利用的漏洞。包括但不限于没有实际意义的扫描器漏洞报告(如Web Server的低版本)、Self-XSS、无敏感信息的JSON Hijacking、无敏感操作的CSRF、无意义的源码泄漏、内网IP地址/域名泄漏、程序路径信任问题、无敏感信息的logcat信息泄漏
3. 无法重现的漏洞。包括但不限于经JJSRC专员确认无法重现的漏洞
4. 无任何证据的猜测
5. 非竞技世界业务漏洞
在本次奖励计划中:
贡献分用于用户的积分并会用于排名,安全币可用于兑换秋卡或现金,计算方法如下:
贡献分=业务等级系数*漏洞评分*贡献分活动系数
安全币=业务等级系数*漏洞评分*安全币活动系数
这里,业务等级系数为是根据竞技世界业务等级的不同而划分为核心业务,一般业务和边缘业务,具体定义为:
核心业务,业务中涉及玩家个人信息、交易信息、资金、品牌等的核心业务;
一般业务,业务中不涉及玩家个人信息、交易信息、资金、品牌等的一般业务;
边缘业务,业务中不涉及JJ主要业务的边缘业务。
三、争议解决办法
在漏洞报告处理过程中,如果报告人员对处理流程、漏洞评分等有任何异议的,可以通过邮件及时和工作人员沟通。