sobug

Sobug众测平台漏洞分级相关说明

2014-05-12

  非常感谢大家对Sobug众测平台的关注,为了更好的服务于平台双方,我们基于数据泄漏的不同程度,将漏洞危害程度分为高风险,中风险,低风险三个风险等级,每个等级包含的内容为:

  

高风险

  • 直接获取权限的漏洞(服务器权限)。包括但不限于远程任意命令执行,文件上传获取Webshell,代码执行,远程缓冲区溢出,远程内核代码执行漏洞以及其他因逻辑问题导致的远程代码执行漏洞。
  • 严重的逻辑漏洞。包括但不限于任意账号登录、任意账号密码修改、支付绕过及任意身份敏感操作等。
  • 直接导致严重信息泄漏或数据泄漏漏洞。包括不限于重要DB的SQL注入漏洞。

 

中风险

  • 需交互才能获取用户身份信息的漏洞。包括但不限于反射型XSS(包括DOM XSS,Flash XSS)、Json Hijacking、敏感操作的CSRF。
  • 普通的信息泄漏。包括但不限于无法获取数据的SQL注入等。
  • 平行权限漏洞。包括但不限于普通用户权限越权访问或修改其他用户的信息。
  • 大范围影响用户的漏洞。包括但不限于容易利用的存储XSS、可导致蠕虫的CSRF等。
  • 非授权访问/权限绕过。包括但不限于绕过身份验证访问后台、后台弱口令等。

 

低风险

  • 特定浏览器下触发的漏洞(如IE6等)才能获取用户信息的漏洞。包括但不限于反射型XSS(包括DOM XSS,Flash XSS)。
  • 轻微的信息泄漏。包括但不限于绝对路径泄漏、phpinfo、svn/cvs信息泄漏,网络明文传输密码,Web目录遍历,系统路径遍历,目录浏览等。
  • URL跳转漏洞。
  • 确定是安全隐患但是难以利用的漏洞。包括但不限于可能传播和利用的Self-XSS以及无敏感操作的CSRF。
  • 普通的越权操作及设计缺陷或流程缺陷。

 

  大家对此有任何建议,欢迎随时联系我们。 :)

SOBUG团队

2014年05月12日

平台概况

  • 673

    合作厂商

  • 24,112

    活跃白帽子

  • 5,757

    已发现漏洞

  • 1,877,917

    发出的赏金