趣店安全应急响应中心(QDSRC)

趣店集团是面向5亿非信用卡人群的金融科技公司。

提交漏洞

趣店SRC漏洞等级评定标准

趣店SRC漏洞等级评级标准


严重安全问题

1、直接获取核心系统权限。可直接危害内网的漏洞包括但不限于:命令执行、远程溢出等漏洞;

2、能够获取大量用户核心数据的漏洞;

3、直接导致严重影响的逻辑漏洞。涉及相关漏洞包括但不限于:严重的逻辑错误、能够大量获取利益造成公司、用户损失的漏洞。

高危安全问题

1、直接获取业务服务器权限的漏洞。包括但不限于任意命令执行、上传webshell、任意代码执行;

2、直接导致严重的信息泄漏漏洞。包括但不限于核心DB的SQL注入漏洞;

3、直接导致严重影响的逻辑漏洞。包括但不限于任意帐号密码更改漏洞;

4、能直接批量盗取用户身份信息的漏洞。包括但不限于SQL注入;

5、越权访问。包括但不限于绕过认证访问后台。

中危安全问题

1、需交互才能获取用户身份信息的漏洞。包括但不限于存储型XSS漏洞;

2、任意文操作漏洞。包括但不限于任意文件读、写、删除、下载等操作;

3、越权访问。包括但不限于绕过限制修改用户资料、执行用户操作;

4、比较严重的信息泄漏漏洞。包含敏感信息文件泄露(如DB连接密码)。

低危安全问题

1、能够造成一定影响但无法直接获取设备权限和影响数据安全的漏洞,如:非重要信息泄露、URL跳转、较难利用的XSS安全漏洞、普通的CSRF漏洞等。


备注

以上四个级别问题不包括

1、不涉及安全问题的 Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性等问题。

2、无法利用的漏洞。无敏感操作的 CSRF、无意义的异常信息泄漏、内网 IP 地址/域名泄漏。

3、不能直接反映漏洞存在的其他问题。包括但不仅限于纯属用户猜测的问题。


厂商保护机制

如果同一个系统中短时间发现了大量的同类型高危漏洞(如SQL注入、越权等),审核员判定该系统几乎没有做任何防护,会与厂商沟通该系统的该类型漏洞是否要继续收取;若厂商表示该类漏洞已知不再收取,则平台方正常审核前三个该类型漏洞,其他同类型漏洞均降级处理,并发布通知同系统同类型漏洞均不再收取,直到厂商修复后重新开放该漏洞类型收取。