京东安全应急响中心漏洞评分规则v4.0.PDFVIP

京东安全应急响应中心漏洞评分规则 v4.0 发布日期 2015-05-18 适用范围 本规则适用通过京东安全应急响应中心提报的所有漏洞 有效日期 本文档发布日期至下一正式版本发布日期之前 V1.0首发《京东安全应急响应中心漏洞评分规则》； 2013-04-12 V2.0修改评分标准，提高奖励力度；更新评级规范；2014-07-29 修订记录 V3.0修改评分标准，提高奖励力度；更新评级规范；2015-03-11 V4.0修改评分标准，提高奖励力度；更新评级规范；2015-05-18 基本原则 1)我们承诺，对每一位漏洞报告者反馈的问题都有专人进行跟进、分析和处理，并给予及 时答复或公告。 2)京东支持合作式的漏洞披露和处理，对于每位恪守白帽子精神，保护用户利益，帮助京 东提升安全质量的用户，我们将给予感谢和回馈。 3)京东反对和谴责一切以漏洞测试为借口，利用安全漏洞进行破坏、损害用户利益的黑客 行为，包括但不限于利用漏洞盗取用户隐私及虚拟财产、入侵业务系统、窃取用户数据、 恶意传播漏洞等。 4)京东认为每个安全漏洞的处理与整个安全行业的进步，都离不开各方的共同合作。希望 企业、安全公司、安全研究者一起加入到“合作式的漏洞披露与处理”过程中来，一起为 建设安全健康的互联网而努力。 漏洞反馈与处理流程 【预报告阶段】 漏洞报告者通过JSRC漏洞反馈平台（/）提交所有与京东相关 的安全问题。 【报告阶段】 漏洞报告者登录京东漏洞反馈平台，提交漏洞信息（状态：未处理） 【处理阶段】 1）京东安全应急响应中心（以下简称JSRC ）工作人员会确认收到漏洞报告并跟进开始评 估问题（状态：漏洞验证/忽略） 2 ）工作日内当天JSRC工作人员处理问题、给出结论并评分（状态：漏洞确认/漏洞处理） 。必要时会与报告者沟通确认，请报告者予以协助。 【修复阶段】 1）业务部门修复漏洞并安排更新上线（状态：已修复）。修复时间根据问题的严重程度 及修复难度而定，严重和高风险漏洞 24小时内，中风险三个工作日内，低风险七个工作 日内。【完成阶段】 1）漏洞报告者通过使用积分在积分商城兑换礼品，兑换完成后，JSRC为漏洞报告者发出 礼品； 2 ）JSRC排行榜会实时对漏洞报告者的积分进行排序； 安全漏洞评分标准 根据漏洞危害程度分为严重、高危、中危、低危、忽略五个等级，每个等级涵盖的漏洞以 及评分标准如下： 严重：【系数：120】 分值 9~10分，本等级包括： 1、直接获取系统权限（服务器端权限、客户端权限）的漏洞。包括但不仅限于：命令注 入、远程命令执行、上传获取 WebShell 、SQL注入获取系统权限、缓冲区溢出（包括可 利用的 ActiveX缓冲区溢出）。 2、直接导致拒绝服务的漏洞。包括通过该远程拒绝服务漏洞直接导致线上应用系统、网 络设备、服务器无法继续提供服务的漏洞。 3、严重的逻辑设计缺陷。包括但不仅限于任意账号登录、任意账号密码修改、任意账号 资金消费、订单遍历、交易支付方面的严重问题。 4 、严重级别的信息泄漏。包括但不限于重要DB的SQL注入漏洞、包含配置信息等敏 感信息的源代码压缩包泄漏、包含订单、用户信息的日志文件； 5、严重的登录及验证安全风险。 高危：【系数：60 】 分值 6~8分，本等级包括： 1、越权访问。包括但不仅限于绕过认证直接访问管理后台可操作、核心业务非授权访问、 核心业务后台弱密码等。 2、能直接盗取商城、网银等关键业务等用户身份信息的漏洞。包括：重点页面的存储型 XSS漏洞、普通系统的SQL注入漏洞。 3、高风险的逻辑设计缺陷。包括但不仅限于查看任意用户信息、修改相关状态等。 4 、高风险的信息泄漏漏洞。包括但不限于普通源代码压缩包泄漏、配置信息泄露； 5、可获取客户端权限的漏洞。包括但不限于远程任意命令执行、远程缓冲区溢出及其它 逻辑问题导致的客户端漏洞； 中危：【系数：15】 分值 3~5分，本等级包括： 1、普通信息泄露。包括但不仅限于客户端明文密码存储。 2、需交互才能获取用户身份信息的漏洞。包括但不限于反射型 XSS 、JSON Hijacking、 重要操作的 CSRF、普通业务的存储型 XSS 。 低危：【系数：9】 分值 1~2分，本等级包括： 1、轻微信息泄露包括但不仅限于路径、svn信息、ph