齐治科技安全应急响应中心

齐治科技安全应急响应中心负责收集齐治产品相关的安全问题

提交漏洞

齐治科技安全应急响应中心漏洞等级评定标准

QZSRC漏洞等级评级标准


高危安全问题

1、直接获取服务器权限的漏洞。包括但不限于任意命令执行、上传webshell、任意代码执行。

2、直接导致严重的信息泄漏漏洞。包括但不限于重要DB的SQL注入漏洞。

3、直接导致严重影响的逻辑漏洞。包括但不限于任意帐号密码更改漏洞。

4、能直接盗取用户身份信息的漏洞。包括但不限于SQL注入。

5、越权访问。包括但不限于绕过认证访问后台。

中危安全问题

1、需交互才能获取用户身份信息的漏洞。包括但不限于存储型XSS漏洞。

2、任意文件操作漏洞。包括但不限于任意文件读、写、删除、下载等操作。

3、越权访问。包括但不限于绕过限制修改用户资料、执行用户操作。

4、比较严重的信息泄漏漏洞。包含敏感信息文件泄露(如DB连接密码)。

低危安全问题

1、普通逻辑漏洞。包括但不限于提交操作无限制导致数据库被爆漏洞。

2、需交互才能获取用户身份信息并且有一定利用难度的漏洞。包括但不限于反射型XSS。


每个漏洞所得奖励由漏洞对应的危害程度以及应用的重要程度、利用难度、影响范围等综合因素决定。产品相关漏洞是否已修正,以产品最新标准版本为准,不参考特定客户的具体部署。



厂商保护机制

如果同一个系统中短时间发现了大量的同类型高危漏洞(如SQL注入、越权等),审核员判定该系统几乎没有做任何防护,会与厂商沟通该系统的该类型漏洞是否要继续收取;若厂商表示该类漏洞已知不再收取,则平台方正常审核前三个该类型漏洞,其他同类型漏洞均降级处理,并发布通知同系统同类型漏洞均不再收取,直到厂商修复后重新开放该漏洞类型收取。