| 漏洞等级 | 基础分范围 | 漏洞类型与描述 |
| 高危 | 60~100 | 1. 直接获取系统权限的漏洞,如远程命令执行、任意代码执行、Webshell上传获取以及通过SQL注入获取系统权限。 2. 直接导致重要业务发生拒绝服务,如直接引发移动网关业务或API业务的拒绝服务。 3. 重要的敏感信息泄露事件,如因重要业务数据库存在SQL注入漏洞以及接口问题导致的大量企业核心业务数据泄露。 4. 严重的逻辑设计缺陷和流程缺陷,如批量修改任意账号密码的漏洞,涉及企业核心业务的逻辑漏洞等。 5. 严重越权操作,包括但不限于账号未经授权修改重要信息、重要业务配置等较为越重要的行为。 6. 大范围影响用户其他的漏洞,如能够导致自动传播的重要存储型XSS攻击脚本(包括存储型DOM-XSS)。 |
| 中危 | 30~50 | 1. 需交互方可影响的漏洞,例如一般页面的存储型跨站脚本攻击(XSS)漏洞等涉及核心业务的跨站请求伪造(CSRF)漏洞。 2. 普通越权操作,例如绕过限制修改用户资料、执行用户无法执行的操作等。 3. 普通的逻辑设计缺陷和流程缺陷,例如不限次数发送手机邮箱信息、任意短信发送等。 4. 其他危害较低的漏洞,例如本地拒绝服务漏洞、客户端明文存储密码、Web路径遍历、系统路径遍历、URL跳转等。 |
| 低危 | 10~20 | 1. 本地拒绝服务漏洞,例如客户端本地解析文件格式和网络协议产生的崩溃。 2. 普通信息泄露,例如客户端明文存储密码,Web路径遍历、系统路径遍历、URL跳转等。 |
这些分类有助于企业和组织在发现安全漏洞时快速评估其严重性,并采取相应的修复措施以保障信息系统的安全。
小伙伴们,上文介绍安全漏洞等级的内容,你了解清楚吗?希望对你有所帮助,任何问题可以给我留言,让我们下期再见吧。
(图片来源网络,侵删)
(图片来源网络,侵删)
本文来源于互联网,如若侵权,请联系管理员删除,本文链接:https://www.9969.net/77888.html
