JJSRC安全漏洞评分标准V2.0

发布时间：2022-06-24 11:47:40

实施日期：

本标准自2022年6月24日起施行。

修订说明：

V1.0 2017-02-07 发布第一版

V2.0 2022-06-24 调整了部分漏洞评分规则，确定业务范围

 

一、安全漏洞评分标准

1、漏洞等级

漏洞评分由JJSRC结合实际情况如漏洞利用难度，危害范围等划分为【严重】、【高危】、【中危】、【低危】，【无危害】五个等级。

【严重】：

1. 直接获取系统权限（服务器端权限、主打产品客户端权限）的漏洞。包括但不限于直接上传获取WebShell、远程任意命令执行、任意代码执行、SQL 注入获取系统权限、可被利用的缓冲区溢出

2.核心业务的严重逻辑设计缺陷和流程缺陷。包括但不限于任意账密校验逻辑、核心接口数据验证逻辑、修改任意帐号密码漏洞、任意账号资金消费、支付系统逻辑绕过等

3.直接导致严重的敏感信息泄露。包括但不限于可获取大量用户的身份信息的漏洞，重要的DB(身份、资金、交易相关)的SQL注入，可直接利用的敏感数据泄露

4.直接导致业务系统不可用的漏洞。包括但不限于直接导致核心业务接口拒绝服务漏洞

【高危】：

1.高风险的敏感信息泄露。包括但不限于非核心DB的SQL注入漏洞、源代码压缩包泄漏或其他的可直接利用的信息泄露漏洞

2.大范围影响用户的漏洞。包括但不限于涉及交易、资金、密码的可被利用的CSRF漏洞

3.敏感信息的非授权访问。包括但不限于绕过认证直接访问敏感管理后台、后台弱口令、账号越权修改重要信息、重要业务配置修改，可直接获取大量内网敏感信息的SSRF等

4.高风险的游戏漏洞。包括但不限于修改客户端影响正常玩家游戏体验和公平性、造成大量财产损失的漏洞

【中危】：

1.需要交互才能影响用户的漏洞，包括但不限于可造成自动传播的存储型XSS、网站敏感数据的JSON Hijacking、重要敏感操作（如支付类操作、修改个人账号敏感信息类操作）的CSRF漏洞

2.普通的信息泄露。包括但不限于少量或者敏感程度有限的用户认证信息、源代码等信息泄露、SQL注入非核心数据库、无回显SSRF漏洞等普通敏感信息泄漏但无法进一步利用

3.普通越权操作。包括但不限于不正确的直接对象引用、身份数据篡改等

4.普通的逻辑设计缺陷和流程缺陷。包括但不仅限于短信验证绕过、邮件验证绕过

5.普通的游戏漏洞。包括但不仅限于本地修改内存数据从而影响游戏正常业务逻辑且影响其他正常玩家游戏体验。

6.远程拒绝服务漏洞。包括但不仅限于客户端远程拒绝服务（解析文件格式、网络协议产生的崩溃），由Android组件权限暴露、普通应用权限引起的问题等

【低危】：

1.本地拒绝服务漏洞。包括但不仅限于客户端本地拒绝服务（解析文件格式、网络协议产生的崩溃），由Android组件权限暴露、普通应用权限引起的问题等

2.轻微信息泄露。包括但不仅限于路径信息泄露、SVN信息泄露、 PHPinfo、 异常信息泄露，测试数据泄露等

3.逻辑设计缺陷：包括但不仅限于图形验证码绕过、对单个手机的短信轰炸等

4.难以利用但又可能存在安全隐患的问题，包括但不限于难以利用的SQL注入点、URL跳转、非敏感功能的CSRF操作等

5.轻微的游戏漏洞。包括但不仅限于本地修改内存数据从而影响游戏正常业务逻辑但不影响正常玩家游戏体验。

【无危害】：

1.不涉及安全问题的 bug。包括但不仅限于产品功能缺陷、页面乱码、样式混乱、网页无法打开等

2.无法利用的漏洞。包括但不限于没有实际意义的扫描器漏洞报告（如Web Server的低版本）、Self-XSS、无敏感信息的JSON Hijacking、无敏感操作的CSRF、无意义的源码泄漏、内网IP地址/域名泄漏、管理后台泄漏、程序路径信任问题、无敏感信息的logcat信息泄漏、反射型XSS漏洞等

3.无法重现的漏洞。包括但不限于经JJSRC专员确认无法重现的漏洞、纯属用户猜测的问题

2、业务系统

竞技世界业务等级根据重要程度分为【核心业务】、【一般业务】和【边缘业务】

【核心业务】：涉及玩家/员工敏感信息、交易信息、资金、品牌等业务，如：竞技世界官网、JJ斗地主APP，JJ斗地主小程序，曙光英雄等自研游戏产品

【一般业务】：除核心产品外的其他主要业务，竞技世界直接运维业务相关的网站、游戏，如：5599yx游戏平台

【边缘业务】：不涉及竞技世界主要业务，非竞技世界直接运维业务相关的网站、游戏，如：5599yx联运游戏等

3、漏洞评分计算方法

贡献分用于用户的积分并会用于排名，安全币可用于兑换秋卡或现金，计算方法如下：

贡献分=业务等级系数*漏洞评分*贡献分活动系数

安全币=业务等级系数*漏洞评分*安全币活动系数

 

二、通用原则

1、评分标准仅适用于竞技世界的产品和业务。与竞技世界无关的漏洞均不记分

2、规则评分奖励制度只针对通过竞技世界安全应急响应中心在线提交漏洞（或邮箱）反馈的非竞技世界员工

3、由同一个漏洞源产生的多个漏洞计漏洞数量为一个

4、某一全局功能、同一文件或模板、泛域名解析等引起的多个问题计漏洞数量为一个

5、同一个报告里提交多个漏洞，只按级别最高的漏洞计分

6、漏洞相同则只给最早提交的用户计分

7、同一系统中的同一类型漏洞确认不超过2个

8、已经公开的漏洞将不计分

9、漏洞提交报告应尽量详细、规范。提供详细的漏洞详情、漏洞原理、利用方式以及修复建议的可以酌情加分

10、任何以漏洞测试为借口,利用漏洞进行损害用户利益、影响业务正常运作、修复前公开、盗取用户数据等行为的，将不会计分，同时竞技世界将保留采取进一步法律行动的权利

11、对于提交的漏洞信息，非经我方同意，白帽子不得擅自公开传播、发行，且不得将漏洞信息转让给其他第三方机构

三、争议解决办法

在漏洞报告处理过程中，如果报告人员对处理流程、漏洞评分等有任何异议的，可以通过邮件及时和工作人员沟通。