漏洞等级
| 等级 | 描述 | 基础分范围 | 奖励系数 | 漏洞类型 |
| 高 | 包括直接获取系统权限的漏洞,如远程命令执行、任意代码执行、通过SQL注入获取系统权限以及缓冲区溢出等,还包括导致重要业务发生拒绝服务的漏洞,如移动网关或API业务拒绝服务、网站应用拒绝服务等,以及重要的敏感信息泄露事件,如因重要业务数据库存在SQL注入漏洞及接口问题导致的大量核心业务数据泄露,严重的逻辑设计缺陷和流程缺陷,如批量修改任意账号密码的漏洞,涉及企业核心业务的越权操作,以及通过服务器端请求伪造(SSRF)获取大量敏感内网信息的漏洞等也属于高危漏洞。 | 60~100 | 1.5 | 包括但不限于远程命令执行、任意代码执行、SQL注入获取系统权限、缓冲区溢出(包括可利用的ActiveX缓冲区溢出)、重要业务拒绝服务、重要敏感信息泄露、严重逻辑设计缺陷和流程缺陷、批量修改任意账号密码、企业重要业务越权操作、通过SSRF获取大量敏感内网信息等。 |
| 中 | 需交互方可影响的漏洞,例如一般页面的存储型跨站脚本攻击(XSS),核心业务跨站请求伪造(CSRF)等,也包括普通的越权操作,如绕过限制修改用户资料、执行用户操作等,还有普通的逻辑设计缺陷和流程缺陷,如不限次数的短信发送、任意手机邮箱注册等。 | 30~50 | 1 | 包括但不限于一般页面的存储型XSS、核心业务CSRF、普通越权操作、普通逻辑设计缺陷和流程缺陷、不限次数的短信发送、任意手机邮箱注册等。 |
| 低 | 本地拒绝服务漏洞,如客户端本地拒绝服务(由解析文件格式和网络协议产生的问题导致的崩溃),以及Android组件暴露和普通权限问题导致的应用崩溃等,还包括普通信息泄露,如客户端明文存储密码、Web路径遍历、系统路径遍历等,其他危害较低的漏洞也属于此类,如反射型XSS、普通跨站请求伪造(CSRF)、普通URL跳转漏洞、普通跨站请求伪造(CSRF)等。 | 10~20 | 0.5 | 包括本地拒绝服务、客户端本地拒绝服务(由解析文件格式和网络协议产生的问题导致的崩溃)、Android组件暴露导致的应用崩溃、普通权限问题导致的应用崩溃、普通信息泄露(如客户端明文存储密码、Web路径遍历、系统路径遍历)、反射型XSS、普通跨站请求伪造(CSRF)、普通URL跳转漏洞、普通跨站请求伪造(CSRF)等。 |
表格详细列出了不同等级的漏洞及其对应的描述、基础分范围和奖励系数,以帮助更好地理解和分类网络安全漏洞。
(图片来源网络,侵删)
各位小伙伴们,我刚刚为大家分享了有关漏洞等级的知识,希望对你们有所帮助。如果您还有其他相关问题需要解决,欢迎随时提出哦!
(图片来源网络,侵删)
本文来源于互联网,如若侵权,请联系管理员删除,本文链接:https://www.9969.net/63022.html
