积分计算

积分分值由漏洞对应用的危害程度以及业务的重要程度决定：积分分值=漏洞基础分值X业务重要性等级

例如：一个核心业务远程执行漏洞的分值为100，计算方法为：漏洞基础分值（严重：10）X业务重要性等级（核心业务：10）

漏洞等级

根据漏洞的危害程度将漏洞等级分为【严重】、【高危】、【中危】、【低危】、【无】五个等级。每个漏洞总基础贡献值为10分， 每种等级包含的评分标准及漏洞类型如下：

【 严重 】

基础分值【9~10】，本等级包括：

1、直接获取系统权限（服务器权限、客户端权限）的漏洞。包括但不限于远程任意命令执行、代码执行、任意文件上传获取Webshell、缓冲区溢出、SQL注入获取系统权限、服务器解析漏洞、文件包含漏洞等

2、严重的逻辑设计缺陷。包括但不限于任意账号登陆、任意账号密码修改、短信邮件验证的绕过。

3、严重的敏感信息泄露。包括但不限于严重的核心DB SQL注入、任意文件包含等。

4、越权访问。包括但不限于绕过验证直接访问后台、后台登录弱口令、匿名FTP访问，SSH弱口令，数据库弱口令等。

【 高危 】

基础分值【6~8】，本等级包括：

1、敏感信息泄漏。包括但不仅限于非核心DB SQL注入、源代码压缩包泄漏、可获取大量用户交易信息的接口、服务器应用加密可逆或明文、移动API访问摘要、硬编码等问题引起的敏感信息泄露。

2、敏感信息越权访问。包括但不仅限于绕过认证直接访问管理后台、后台弱密码、任意订单查看、任意用户敏感信息访问、获取大量内网敏感信息的SSRF等。

3、越权敏感操作。包括但不仅限于账号越权修改重要信息、进行订单普通操作、重要业务配置修改等较为重要的越权行为。

4、大范围影响用户的其他漏洞。包括但不仅限于可造成自动传播的存储型XSS（包括存储型DOM-XSS）和涉及交易、资金、密码的CSRF等。

5、影响到服务器的本地提权漏洞。

【 中危 】

基础分值【3~5】，本等级包括：

1、需交互方可影响用户的漏洞。包括但不仅限于反射型 XSS（包括反射型 DOM-XSS）、普通CSRF、URL跳转漏洞。

2、普通越权操作。包括但不仅限于不正确的直接对象引用。

3、普通信息泄漏。包括但不仅限于web路径遍历、系统路径遍历等。

4、普通的逻辑设计缺陷和流程缺陷。

【低危】

基础分值【1~2】，本等级包括：

1、轻微信息泄漏。包括但不仅限于路径信息泄漏、SVN信息泄漏、phpinfo、异常信息泄露、日志打印、配置信息、异常信息等。

2、难以利用但存在安全隐患的漏洞。包括但不仅限于难以利用的SQL注入点、可引起传播和利用的 Self-XSS、需构造部分参数且有一定影响的CSRF。

【 无 】

基础分值【0】，本等级包括：

1、不涉及安全问题的 Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性等问题。

2、无法利用的漏洞。包括但不仅限于Self-XSS、无敏感操作的 CSRF、无意义的异常信息泄漏、内网 IP 地址/域名泄漏。

3、不能直接反映漏洞存在的其他问题。包括但不仅限于纯属用户猜测的问题。

业务重要性等级

核心业务

核心业务的业务重要性等级为10。

核心业务包括：BBS、商城、门户网站、应用中心、游戏中心、用户中心

普通业务

普通业务的业务重要性等级为2。

普通业务包括：核心业务以外的其他业务。

评分标准通用原则

1) 评分标准仅适用于魅族产品和业务。与魅族完全无关的漏洞，不计贡献值。

2) 对于非魅族自身发布的产品和业务，不计贡献值。

3) 第三方产品的漏洞只给第一个提交者计贡献值，最高不超过5贡献值，等级不高于【中危】，且不保证修复时长，包括但不限于魅族正在使用的discuz等服务端相关组件等；不同版本的同一处漏洞视为相同漏洞。

4) 同一个漏洞源产生的多个漏洞计漏洞数量为一。例如 discuz 的安全漏洞、同一个 JS 引起的多个安全漏洞、同一个发布系统引起的多个页面的安全漏洞、框架导致的整站的安全漏洞、泛域名解析产生的多个 安全漏洞等。

5) 各等级漏洞的最终贡献值数量由漏洞利用难度及影响范围等综合因素决定，若漏洞触发条件非常苛刻，包括但不限于特定浏览器才可触发的xss漏洞，则可跨等级调整贡献值数量。

6) 同一漏洞，首位报告者计贡献值，其他报告者均不计。

7) 在漏洞未修复之前，被公开的漏洞不计分。

8) 报告网上已公开的漏洞不计贡献值。

9）拒绝无实际危害证明的扫描器结果。

10) 同一份报告中提交多个漏洞，只按危害级别最高的漏洞计贡献值。

11) 以测试漏洞为借口，利用漏洞进行损害用户利益、影响业务运作、盗取用户数据等行为的，将不会计贡献值，同时魅族保留采取进一步法律行动的权利。