BILISRC 漏洞处理和评分标准 V1.3.docx https://security.bilibili.com/static/docs/BILISRC_V1.3.pdf
撰写 哔哩哔哩安全应急响应中心 文档版本 1.3 更新日期 2020-09-28
根据漏洞的危害程度将漏洞等级分为【严重】、【高危】、【中危】、【低危】、【无效】五
个等级。每个漏洞基础经验值最高为 10,由 BILISRC 结合利用场景中漏洞的严重程度、利用
难度等综合因素给予相应分值的经验值、安全币和漏洞定级,部分边缘业务的安全漏洞根据具
体情况可能进行降级或忽略。每种等级包含的评分标准及漏洞类型如下:
【严重】经验值 9~10 / 安全币 500~1000
1. 直接获取核心系统权限的漏洞(服务器权限、PC 客户端权限)。包括但不仅限于远程
命令执行、任意代码执行、上传获取 Webshell、SQL 注入获取系统权限、缓冲区溢
出。
2. 严重的敏感信息泄漏。包括但不仅限于核心 DB(资金、身份、交易相关) 的 SQL 注
入,可获取大量核心用户的身份信息、订单详细信息、银行卡详细信息等接口问题引
起的核心敏感信息泄露。
3. 严重的逻辑设计缺陷和流程缺陷。包括但不仅限于通过核心业务接口无限制任意账号
资金消费、批量修改任意帐号密码漏洞、
【高危】经验值 6~8 / 安全币 200~400
1. 敏感信息泄漏。包括但不仅限于非核心 DB SQL 注入、源代码压缩包泄漏、服务器应
用加密可逆或明文、移动 API 访问摘要、硬编码等问题引起的敏感信息泄露。
2. 敏感信息越权访问。包括但不仅限于绕过认证直接访问管理后台、后台弱密码、获取
大量内网敏感信息的 SSRF。
3. 直接导致业务拒绝服务的漏洞。包括但不仅限于直接导致移动网关业务 API 业务拒绝
服务、网站应用拒绝服务等造成较高影响的远程拒绝服务漏洞。
4. 越权敏感操作。包括但不仅限于账号越权修改重要信息、进行订单普通操作、重要业
务配置修改等较为重要的越权行为。
5. 大范围影响用户的其他漏洞。包括但不仅限于可造成自动传播的重要页面的存储型
XSS(包括存储型 DOM-XSS)和涉及交易、资金、密码的 CSRF。
6. 直接获取系统权限的漏洞。包括但不仅限于远程命令执行、任意代码执行等。
【中危】经验值 3~5 / 安全币 30~100
1. 需交互方可影响用户的漏洞。包括但不仅限于一般页面的存储型 XSS、包括但不仅限
于一般页面的存储型 XSS、敏感信息的 JSONP 劫持、重要操作 CSRF。
2. 普通越权操作。包括但不仅限于不正确的直接对象引用。影响业务运行的 Broadcast
消息伪造等 Android 组件权限漏洞等。
3. 普通信息泄漏。包括但不仅限于客户端明文存储密码、客户端密码明文传输以及 web
路径遍历、系统路径遍历。
4. 远程拒绝服务漏洞。包括但不仅限于客户端远程拒绝服务(解析文件格式、网络协议
产生的崩溃),由 Android 组件权限暴露、普通应用权限引起的问题等(默认配置情
况下)。
5. 普通的逻辑设计缺陷和流程缺陷。
【低危】经验值 1~2 / 安全币 10~20
1. 本地拒绝服务漏洞。包括但不仅限于客户端本地拒绝服务(解析文件格式、网络协议
产生的崩溃),由 Android 组件权限暴露、普通应用权限引起的问题等(默认配置情
况下)。
2. 轻微信息泄漏。包括但不仅限于路径信息泄漏、SVN 信息泄漏、PHPinfo、异常信息
泄露,以及客户端应用本地 SQL 注入(仅泄漏数据库名称、字段名、cache 内容)、
日志打印、配置信息、异常信息等。
3. 难以利用但存在安全隐患的漏洞。包括但不仅限于难以利用的 SQL 注入点、可引起传
播和能够利用的 Self-XSS、URL 跳转、反射型 XSS 漏洞。