公告编号:作者:PPSRC发布日期:2025/08/26
漏洞等级 | 分数 | 描述 |
严重 | [30,50] | 1)系统权限获取漏洞:能够获取服务器权限的漏洞(仅限于乒乓所属资产),包括但不限于:远程任意命令执行、成功上传并 执行webshell、系统提权漏洞; 2)信息泄露:包括但不限于:可获取重要数据的SQL注入漏洞(如用户账号密码、核心业务数据)、大量(3000条以上)用户会员信息/身份信息/银行卡信息等批量泄露、系统源代码泄露、数据库备份文件泄露、核心业务数据库完全可读取; 3)业务逻辑漏洞:支付绕过、任意金额支付、账户接管漏洞、核心数据篡改或删除; 4)未授权访问:完全绕过身份认证访问核心系统、获取内部管理员权限、访问生产环境数据库或核心服务; 5)内网渗透:通过SSRF等漏洞完全控制内网关键服务、获取内网敏感系统访问权限; 6)其他可造成严重危害:影响业务连续性、数据安全、账号安全、资金安全的重大安全漏洞。 |
高危 | [15,25] | 1) 直接获取用户身份信息的漏洞:如存储型XSS漏洞(低交互、易传播、影响广)、SQL注入漏洞(可读取部分敏感数据/表结构)等; 2) 重要功能权限绕过:核心业务功能的水平越权、垂直越权,能够访问或操作其他用户的重要数据;未授权访问: 3) 未授权访问管理平台并能使用管理员功能,或访问其他具有重要影响的系统页面; 4) 敏感文件泄露:任意文件读取、任意文件下载,涉及passwd文件、数据库配置文件、应用配置文件等重要系统文件; 5) 内网渗透漏洞:能直接访问内网且可获取回显的SSRF漏洞,可能导致内网信息泄露或进一步攻击; 6) 代码执行漏洞(受限):存在代码执行或命令执行漏洞,但权限或影响范围受到一定限制; 7) 信息泄露:能够获取1000-3000条用户敏感信息的漏洞; 8) 严重之外的其它支付类漏洞; 9) 其他可造成高危级别影响的安全漏洞。 |
中危 | [5,10] | 1) 未做任何限制的短信轰炸,可对任意手机号进行(短时间内发送20条以上); 2) 需交互才能获取用户身份信息的漏洞。包括但不限于反射型 XSS、DOM型XSS、重要敏感操作的 CSRF; 3) 敏感信息泄露:能直接盗取少量(100<数量≤1000条)敏感信息的漏洞; 4) 文件操作漏洞:任意文件读取、任意文件下载(一般系统文件),但不涉及核心配置文件或数据库文件; 5) 未授权漏洞:未授权访问重要接口、管理后台、默认配置页面等,但权限范围有限; 6) 权限控制缺陷:普通功能的权限验证绕过,包括水平越权、垂直越权,影响非核心业务功能; 7) SQL注入(中等影响):存在SQL注入漏洞,能够获取部分敏感数据或影响数据完整性,但无法完全控制数据库; 8) 任意文件上传(可利用):能够上传并执行恶意文件,但影响范围受限或需要特定条件;敏感功能未授权操作: 9) 重要业务功能缺乏适当的身份验证或授权检查; 10) 命令执行(受限):存在命令执行漏洞但权限受限或影响范围较小; 11) 目录遍历(敏感文件):能够访问部分敏感系统文件或配置文件; 12) 其他可造成中危级别的漏洞。 |
低危 | [1,3] | 1) 一般信息泄露:少量信息、系统信息、目录结构、用户枚举等; 2) URL任意跳转:开放重定向漏洞,可跳转至任意外部网址; 3) 受限文件上传:可上传可执行文件但无法利用执行; 4) XSS漏洞(受限):存在跨站脚本漏洞但影响范围有限,如self-XSS、需要特殊条件触发的存储型XSS等; 5) 其他可造成低危级别的漏洞。 |
备注:以上漏洞等级对照表仅适用于所有在用的信息系统,对于已经废弃的系统(不在用、可下线),中危及以下忽略,高危及以上酌情给[1,3]分。
产品级别 | 产品名称 | 系统等级 | 系统等级系数 |
一级 | 收款 | A | 2 |
FX | A | 2 | |
光年 | A | 2 | |
福贸 | A | 2 | |
B2B | A | 2 | |
VCC | A | 2 | |
收单 | A | 2 | |
Currentz | A | 2 | |
二级 | 欧鹭 | B | 1.5 |
易得客 | B | 1.5 | |
风控 | B | 1.5 | |
中台 | B | 1.5 | |
三级 | 大数据 | C | 1 |
非优先收录域名 | C | 1 | |
内部工具平台 | C | 1 | |
其它 | C | 1 |
1、收录场景
v收录
v合并
以下场景的漏洞按系统提交时间只收录首个有代表性的漏洞,其它后续提交的相似的漏洞合并处理。
(1)批量漏洞:同一系统多个接口功能类似/利用方式类似。
(2)同源漏洞:同一系统不同漏洞来源于同一套业务机制或不同系统的相同漏洞来源于同一套业务机制,如同一中间件造成的多个漏洞,经升级后所有漏洞都自动被修复。
(3)关联漏洞:如通过修改账户信息后再进行其他漏洞利用的,按危害最高的进行评分。
v升级
(1)对于提交的首个漏洞,如越权,首次评定为中危,如后续可以发现多处类似的漏洞,按照发现问题的数量和质量进行升级或加分处理。
(2)可以利用发现的漏洞对其它系统造成危害的。
(3)同一白帽子提交的漏洞,第二次提交发现利用该漏洞可以造成更严重的危害,危害性需达到相应等级条件。
(4)漏洞危害超过业务预期的。
v降级
(1)复现场景或影响范围有限:仅影响当前用户/组织或部分概率性漏洞。
(2)漏洞存在,但未造成实际危害或漏无法进行后续利用:如上传任意类型文件但无法进行后续利用、修改密码后不能进行后续登录操作。
(3)由变更参数值造成的漏洞,参数生成机制没有明显规律或获取参数困难的。
2、忽略场景
(1)已有更早的白帽子提交了类似的漏洞。
(2)低价值的漏洞:如:无法影响其他用户的漏洞、pdf-xss、无法利用的漏洞(包括但不限于版本过低)、无关安全的BUG(包括但不限于产品功能缺陷、网页乱码、静态文件目录遍历、应用兼容性问题)、没有利用价值的DS_store、js.map等。
(3)无法重现或概率性漏洞,只有概述,不能直接体现或造成实际危害的问题,包括隐私合规类、纯属用户猜测、未经验证、以及无实际危害证明的扫描器结果;或者漏洞发生属于概率性事件,没有提供有价值的成功案例。
(4)对于互联网上新爆出的通用型/涉及范围较广的漏洞,如log4j,在漏洞公开后业务会进行统一排查,一个月内不会进行收录。
(5)报告缺失或不完整,导致审核无法进行判定的。
(6)内部已知、符合产品预期或在业务风险承受能力范围内的漏洞。
(7) 乒乓内部员工或经过朋友提交;对于已经收录的漏洞,PPSRC有权追回奖励。
(8)其他乒乓认为可忽略的漏洞。
3、延迟场景
(1)对于过多风险较低的同类型接口提交(如无害的信息泄露,仅暴露少量非敏感信息),会合并这些提交或者延迟处理,审核员会定期进行统一审查,避免大量低风险相似提交占用过多资源。
(2)对于非优先收录域名列表中的漏洞提交,将在处理完优先级漏洞后,根据剩余资源情况按照提交时间顺序进行审核处理。
1、联系方式
各位师傅在漏洞提交和处理过程中有任何问题,可通过以下方式留言,我们会在2个工作日内进行反馈。
(1)邮箱:security@pingpongx.com
(2)漏洞详情的评论区
(3)首页微信
(4)QQ:3162513639
2、加分机制(以个人为单位)
新注册的白帽子提交的首个漏洞,会在审核时多加1分。
提交的报告中,对漏洞描述、问题地址、利用工具、复现步骤、修复建议非常详细的,审核时会考虑额外加分。
3、漏洞奖励
1安全币=100元人民币,相应奖励计算方式如下:
安全币奖励 = 漏洞分值 * 系统等级系数
贡献值=漏洞分值 * 系统等级系数
奖励发放会在年底统一结算并发放~
在测试过程中禁止以下几种测试行为,违规者将依法追究法律责任:
1、社工测试:禁止明显交互行为的社会工程学;
2、账号限制:仅可使用个人账号,不得影响其他客户;
3、工具限制:禁用自动化工具,危险操作需手工测试并预先授权;
4、数据保护:严禁增删改生产数据,SQL注入仅限库名表名获取;
5、服务可用:禁止DoS攻击等影响业务可用性的测试;
