JJSRC漏洞评分和奖励标准

发布时间：2016-07-08 10:22:37

      一、安全漏洞评分标准

漏洞评分由JJSRC结合实际情况如漏洞利用难度，危害范围等划分为严重、高危、中危、低危，无危害五个等级。

严重：

1. 直接获取系统权限（服务器端权限、主打产品客户端权限）的漏洞。包括但不限于：直接上传获取WebShell、远程任意命令执行、SQL 注入获取系统权限、可被利用的缓冲区溢出

2. 核心业务的逻辑漏洞。包括但不限于任意账密校验逻辑、账号登录、核心接口数据验证逻辑、任意账号密码修改、任意账号资产交易缺陷，支付系统逻辑绕过等

3. 核心的敏感信息泄露。包括但是不限于能直接盗取用户身份信息的漏洞，重要的DB(身份、资金、交易相关)的SQL注入，可直接利用的敏感数据泄露

高危：

1. 敏感信息泄露。包括但不限于可获取公司内部重要数据或用户身份信息的漏洞SQL注入，或其他的可直接利用的信息泄露漏洞

2. 涉及交易、资金、密码的可被利用的CSRF漏洞

3. 越权访问。包括但不限于绕过认证直接访问敏感管理后台，账号越权修改重要交易信息、重要业务配置修改等

中危：

1. 普通业务或者需要交互才能影响用户的漏洞，包括但不限于存储型XSS，可造成自动传播的存储型xss、JSON Hijacking、重要敏感操作的CSRF

2. 普通信息泄露。包括但不限于：个别用户认证信息泄露等

3. 普通越权操作。包括但不限于不正确的直接对象引用、身份数据篡改等

4. 直接导致拒绝服务的漏洞。包括但不限于远程应用拒绝服务漏洞

低危：

1. 轻微信息泄露。包括但不仅限于路径信息泄露、svn 信息泄露、 phpinfo等

2. 逻辑设计缺陷：包括但不仅限于图形验证码绕过

3. 难以利用但又可能存在安全隐患的问题，包括但不限于URL跳转等

4. 公司内部普通数据泄露

无危害：

1. 不涉及安全问题的 bug。包括但不仅限于产品功能缺陷、页面乱码、样式混乱、网页无法打开等

2. 无法利用的漏洞。包括但不限于没有实际意义的扫描器漏洞报告（如Web Server的低版本）、Self-XSS、无敏感信息的JSON Hijacking、无敏感操作的CSRF、无意义的源码泄漏、内网IP地址/域名泄漏、程序路径信任问题、无敏感信息的logcat信息泄漏

3. 无法重现的漏洞。包括但不限于经JJSRC专员确认无法重现的漏洞

4. 无任何证据的猜测

5. 非竞技世界业务漏洞

      二、漏洞价值对应表

 

     

在本次奖励计划中：

贡献分用于用户的积分并会用于排名，安全币可用于兑换秋卡或现金，计算方法如下：

贡献分=业务等级系数*漏洞评分*贡献分活动系数

安全币=业务等级系数*漏洞评分*安全币活动系数

这里，业务等级系数为是根据竞技世界业务等级的不同而划分为核心业务，一般业务和边缘业务，具体定义为：

核心业务，业务中涉及玩家个人信息、交易信息、资金、品牌等的核心业务；

一般业务，业务中不涉及玩家个人信息、交易信息、资金、品牌等的一般业务；

边缘业务，业务中不涉及JJ主要业务的边缘业务。

      三、争议解决办法

在漏洞报告处理过程中，如果报告人员对处理流程、漏洞评分等有任何异议的，可以通过邮件及时和工作人员沟通。