漏洞定级标准

（若项目中无特别说明则均为一般系统，若漏洞影响力超出预期，则可经过官方评定提高危害等级）

ZKZ内测定级分为5档：分别是严重、高、中、低、无影响。

严重漏洞：

1、 直接获取核心系统权限的漏洞。包括但不限于：RCE、GetShell、通过SQL 注入获取核心系统权限等。

2、 核心系统的SQL注入漏洞。

3、 核心系统的严重逻辑设计缺陷和流程缺陷。包括但不限于任意用户密码修改、大量订单/个人信息等敏感信息的泄露、核心支付系统支付交易流程的漏洞、能够直接控制、或者可以直接影响工业机器正常工作的漏洞等。

4、 核心系统严重敏感信息泄露。包括但不限于数据量巨大的多维度敏感数据信息泄露。

5、 可以直接控制控制系统(可管理大量系统的管控系统)的漏洞，包括但不限于：域控、业务分发系统、堡垒机等漏洞。

6、 可将内网主机Getshell/RCE的漏洞。

高危漏洞：

1、直接获取一般系统权限的漏洞。包括但不限于：RCE、Getshell、通过SQL 注入获取系统权限等。

2、一般系统的前台SQL注入漏洞（若客户主动提供后台账号，则此时后台算前台）。

3、可以获得一般系统后台认证，获取后台超级管理员权限且可以造成大量核心数据泄露，或可进行敏感操作或可造成巨大影响的漏洞。

4、一般系统具有严重影响力的逻辑漏洞。包括但不限于任意账号密码重置、任意用户登录、任意核心内容删除、任意用户删除等。

5、一般系统的各种支付绕过等，可造成厂商经济上大量损失的漏洞。

6、任意文件读取漏洞（例如：xxe等）。

7、移动APP远程命令执行漏洞。

8、一般系统大量敏感源代码泄露等。

9、可进内网获取敏感数据的SSRF（内网主机存活、端口开放情况等除外）漏洞、远程缓冲区溢出及其它逻辑问题导致的客户端漏洞。

10、核心系统的存储型 XSS。可以获取其他用户的Cookie或者管理员Cookie或者其他具有传播性的各种 XSS（需获取Cookie并且登录）。

中危漏洞：

1、一般系统的后台SQL注入漏洞。

2、普通的信息泄露。包括但不限于影响数据量有限或者敏感程度有限的越权、源代码或系统日志等信息泄露。

3、需受害者交互或其他前置条件才能进一步利用的漏洞。包括但不限于包含敏感数据的JSON劫持、jsonp劫持、一些敏感操作（如：支付、发布信息、修改敏感信息等的操作）的 CSRF。

4、一般系统的存储型 XSS。

5、普通的影响范围有限的逻辑缺陷和越权(越权修改、越权删除等)。包括但不限于一般的越权行为和设计缺陷。

6、可以获取有限信息的SSRF（例如：内网存活主机、内网开放端口等，127.0.0.1以及外网IP探测除外）。

7、普通设计缺陷，包括但不限于登录窗口可爆破(需提供成功案例)、弱口令等问题。

8、心脏滴血漏洞。

9、一般系统有敏感数据泄漏的未授权访问漏洞。

10、第三方公开存储的，有关厂商隐私数据的漏洞。

低危漏洞：

1、轻微信息泄露，包括但不限于可登录后台但无权限或无数据操作的漏洞。

2、PHPinfo。

3、本地 SQL 注入、或者SQL注入无数据。

4、一些配置信息的泄露等情况。

5、利用条件苛刻或者成功率较低的漏洞，包括但不限于反射XSS（包括 DOM 型）。

6、利用场景有限的漏洞，包括但不限于短信轰炸、URL跳转、系统的可撞库接口等。

无影响漏洞：

1、无法利用的或无实际危害的漏洞。包括但不限于不可利用的Self-XSS。

2、静态文件目录遍历。

3、401 认证钓鱼。

4、无实际意义的扫描器结果报告。

5、非重要交互（如：查询类操作）的 CSRF。

6、无敏感信息（如：用户昵称、用户个人公开的信息、已脱敏的敏感信息等）的 JSON 劫持、JSONP劫持。

7、横向短信轰炸。

8、实际业务安全性无影响的 Bug，包括但不限于产品功能缺陷、页面乱码、样式混乱等。

9、若在项目开始时无特别说明，DOS类漏洞属于无影响漏洞

附:

1、同一系统同类型漏洞最多提交3个，同类型漏洞不可以是同一漏洞。

同一漏洞定义：同一个漏洞源产生的多个漏洞算同一个漏洞。例如：全局函数、全局配置导致的问题、同一配置影响的多个文件、同一漏洞的不同利用方式、同一函数导致漏洞等、同一功能模块下的不同接口，同一文件的不同参数、同一参数出现在不同文件、同一文件在不同目录、不同版本的同一漏洞。

2、以提交时间作为漏洞接收顺序，多人同时提交内容一致的报告，以第一个提交者为准，且只收录一次。