积分计算

积分分值由漏洞对应用的实际危害程度以及业务的重要程度决定:积分分值=漏洞基础分值X业务重要性等级

例如:一个核心业务远程执行漏洞的分值为100,计算方法为:漏洞基础分值(严重:30)X业务重要性等级(核心业务:10)

漏洞等级
根据漏洞的危害程度将漏洞等级分为【严重】、【高危】、【中危】、【低危】、【无】五个等级。每个漏洞总基础贡献值为10分, 每种等级包含的评分标准及漏洞类型如下:

1.1 【 严重 】

基础分值【30~50】,本等级包括:

1、直接获取系统权限(服务器权限、客户端权限)的漏洞。包括但不限于远程任意命令执行、代码执行、任意文件上传获取Webshell、缓冲区溢出、SQL注入获取系统权限、服务器解析漏洞、文件包含漏洞等

2、严重的逻辑设计缺陷。包括但不限于任意账号登陆、任意账号密码修改、短信邮件验证的绕过。

3、严重的敏感信息泄露。包括但不限于严重的核心DB SQL注入、任意文件包含等。严重的内部机密泄露(例如带有机密标识的内部文件等)

4、严重的越权访问。包括但不限于绕过验证直接访问后台、后台登录弱口令、匿名FTP访问,SSH弱口令,数据库弱口令等。

5、直接的导致系统拒绝服务攻击。包括但不限于业务逻辑导致的拒绝服务攻击、业务API网关等服务导致的拒绝服务攻击。

6、远程执行系统命令的漏洞。包括但不限于通过WEB、API、云系统、客户端等所产生的任何形式远程执行系统命令漏洞。(例如发现web有反序列化漏洞并且成功执行系统命令)。

1.2 【 高危 】

基础分值【15~25】,本等级包括:

1、敏感信息泄漏。包括但不仅限于非核心DB SQL注入、源代码压缩包泄漏、可获取大量用户交易信息的接口、服务器应用加密可逆或明文、移动API访问摘要、硬编码等问题引起的敏感信息泄露。

2、敏感信息越权访问。包括但不仅限于绕过认证直接访问管理后台、后台弱密码、任意订单查看、任意用户敏感信息访问、获取大量内网敏感信息的SSRF等。

3、越权敏感操作。包括但不仅限于账号越权修改重要信息、进行订单普通操作、重要业务配置修改等较为重要的越权行为。

4、大范围影响用户的其他漏洞。包括但不仅限于可造成自动传播的存储型XSS(包括存储型DOM-XSS)和涉及交易、资金、密码的CSRF等。

5、影响到服务器的本地提权漏洞。

1.3 【 中危 】

基础分值【11~13】,本等级包括:

1、需交互方可影响用户的漏洞。包括但不仅限于储存型的XSS、重要或可造严重危害的URL跳转漏洞、结合其他漏洞的多维度攻击。

2、普通越权操作。包括但不仅限于不正确的直接对象引用。

3、普通信息泄漏。包括但不仅限于GITHUB信息泄露,包含明文密码的信息泄露、包含员工或者个人信息的信息泄露。

4、普通的逻辑设计缺陷和流程缺陷。

1.4 【低危】

基础分值【1~10】,本等级包括:

1、轻微信息泄漏。包括但不仅限于路径信息泄漏、SVN信息泄漏、phpinfo、异常信息泄露、日志打印、配置信息、异常信息等。

2、难以利用但存在安全隐患的漏洞。包括但不仅限于难以利用的SQL注入点、可引起传播和利用的 Self-XSS、需构造部分参数且有一定影响的CSRF。

3、反射型 XSS(包括反射型 DOM-XSS)

1.5 【 无 】

基础分值【0】,本等级包括:

1、不涉及安全问题的 Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性等问题。

2、无法利用的漏洞。包括但不仅限于Self-XSS、无敏感操作的 CSRF、无意义的异常信息泄漏、内网 IP 地址/域名泄漏。

3、不能直接反映漏洞存在的其他问题。包括但不仅限于纯属用户猜测的问题。

4、普通CSRF、URL跳转漏洞。

5、web路径遍历、系统路径遍历。

6、以下系统将不再收取(详细链接查看https://sec.meizu.com/announcement/announcement_view/id/338)

7、重复提交漏洞

业务重要性等级

1.6 核心业务

核心业务的业务重要性等级为10。

凡提交核心业务”严重等级”漏洞额外奖励1000元现金。

核心业务包括:BBS、商城、门户网站、应用中心、游戏中心、用户中心、OA、支付系统。

1.7 普通业务

普通业务的业务重要性等级为2。

普通业务包括:核心业务以外的其他业务。

评分标准通用原则

1.评分标准仅适用于魅族产品和业务。与魅族完全无关的漏洞,不计贡献值。

2.对于非魅族自身发布的产品和业务,不计贡献值。

3.第三方产品的漏洞只给第一个提交者计贡献值,最高不超过5贡献值,等级不高于【中危】,且不保证修复时长,包括但不限于魅族正在使用的discuz等服务端相关组件等;不同版本的同一处漏洞视为相同漏洞。

4.同一个漏洞源产生的多个漏洞计漏洞数量为一。例如 discuz 的安全漏洞、同一个 JS 引起的多个安全漏洞、同一个发布系统引起的多个页面的安全漏洞、框架导致的整站的安全漏洞、泛域名解析产生的多个 安全漏洞等。

5.各等级漏洞的最终贡献值数量由漏洞利用难度及影响范围等综合因素决定,若漏洞触发条件非常苛刻,包括但不限于特定浏览器才可触发的xss漏洞,则可跨等级调整贡献值数量。

6.同一漏洞,首位报告者计贡献值,其他报告者均不计。

7.在漏洞未修复之前,被公开的漏洞不计分。

8.报告网上已公开的漏洞不计贡献值。

9.拒绝无实际危害证明的扫描器结果。

10.同一份报告中提交多个漏洞,只按危害级别最高的漏洞计贡献值。

11.遵守《中华人民共和国网络安全法》法律,以测试漏洞为借口,利用漏洞进行损害用户利益、影响业务运作、盗取用户数据等行为的,将不会计贡献值,同时魅族保留采取进一步法律行动的权利。

12.在同系统不同接口相同漏洞分多个独立漏洞提交将进行降级处理,在不同业务相同系统架构同漏洞多接口的分多个独立漏洞提交的将进行降级处理。

13.不属于安全漏洞的一概归类为BUG,可前往 https://bbs.meizu.cn/forum-60-1.html 反馈。

14.若提交漏洞所属业务为废弃业务或边缘业务,将进行酌情收取。

15.短信轰炸以可连续单IP在10分钟内发送50条为例,以下被限制的不予收取,以上至无限制的收取。

16.特定需要POC进行验证的请提供详细POC文件,否则可能产生漏洞复现不成功不予收取。

17.魅族内部员工发现漏洞请走内部提交通道发送邮件到web_sec@meizu.com