公告编号:作者:PPSRC发布日期:2024/07/29
漏洞评级评分标准V1.0
低危漏洞
1、有危害的信息泄漏、邮箱轰炸等
2、url跳转(能跳转到任意网址)、
3、任意文件上传(上传jsp等可执行文件)
4、其他乒乓认为构造成低危级别的漏洞。
中危漏洞
1、逻辑类漏洞:短信轰炸等(轰炸类需能对任意手机号短时间内发送10条以上)
2、需交互才能获取用户身份信息的漏洞。包括但不限于反射型 XSS、DOMXSS、重要敏感 操作的 CSRF
3、能直接盗取少量(小于三千大于一百条敏感信息)敏感信息的漏洞
4、任意文件读取、任意文件下载(具体看读取和下载到的文件定级,也可能定低危)
5、其他乒乓认为构造成中危级别的漏洞。
高危漏洞
1、能直接盗取用户身份信息的漏洞,如XSS 漏洞(低交互易传播可影响大量用户)、SQL 注入漏洞(可读取当前表名的即可,不可直接利用 SQL 注入获取用户数据)
2、越权类漏洞:垂直越权,水平越权
3、未授权漏洞:未授权访问管理平台并使用管理员功能等其他有重要影响的页面
4、能直接访问乒乓内网且可获取回显的 SSRF 漏洞
5、其他乒乓认为构造成高危级别的漏洞。
严重漏洞
1、获取权限的漏洞(仅限于乒乓所属的资产),包括但不限于远程任意命令执行、上传 webshell 等;
2、严重的信息泄漏漏洞,包括但不限于可以获取重要数据的 SQL 注入漏洞(如用户帐号密码)、源代码泄露、可获取大量用户身份信息、会员信息、银行卡信息等 ;
3、严重影响的逻辑漏洞,支付类严重的逻辑漏洞等;
4、其他乒乓认为构造成严重级别的漏洞。
注意事项
【1】厂商保护机制:同一系统同一漏洞类型仅收取2个,视项目具体情况。
【2】在测试过程中禁止以下几种测试行为
1、有明显交互行为的社会工程学。
2、 厂商明确禁止的其他测试行为。
3、自动化扫描(若扫描影响业务安全还将依法追究法律责任)。
4、其他有危险的测试使用自动化工具(例如:UPDATE、DELETE、INSERT注入等必须使用手工测试),测试前需要报备。
5、增删改厂商的任何数据,包括但不限于数据内容、账户密码等或发起拒绝服务类型的测试。
6、SQL注入原则上默认取到数据库名和当前表名,未经授权不能读取其他数据,否则将依法追究法律责任。
【3】若提交以下内容将被忽略
1、 无法影响其他用户的漏洞包括但不限于self-xss ;
2、无法利用的漏洞,包括但不限于版本过低 ;
3、无关安全的BUG,包括但不限于产品功能缺陷、网页乱码、静态文件目录遍历、应用兼容性问题等 ;
4、无法重现的漏洞,只有“简要概述”,不能直接体现危害的其他问题,包括纯属用户猜测、未经验证、以及无实际危害证明的扫描器结果;
5、没有利用价值的DS_store、js.map等;
6、其他乒乓认为可忽略的漏洞。
测试范围及奖励计算方法
| 产品级别 | 产品列表 | 系统等级 |
| 一级 | 收款 | A |
| FX | A | |
| 光年 | A | |
| 福贸 | A | |
| B2B | A | |
| 二级 | VCC | B |
| 收单 | B | |
| Currentz | B | |
| 欧鹭 | B | |
| 易得客 | B | |
| 风控 | B | |
| 三级 | KYC | C |
| VAT | C | |
| 内部工具平台 | C |
特别说明: 其中域名里有含有test、dev、sandbox等字段的域名的是开发测试或沙箱环境的,这些网站的漏洞不收录, (例如developer-platform.pingpongx.com就算含dev的域名)。 |
| 漏洞等级 | 漏洞分值 |
| 严重 | 35-40 |
| 高危 | 20-25 |
| 中危 | 5-10 |
| 低危 | 1-3 |
| 系统等级系数:A=2;B=1.5;C=1 漏洞分值:严重=[35,40];高危=[20,25];中危=[5,10];低危[1,3] 1安全币价值100元人民币,相应漏洞奖励如下 安全币奖励 = 漏洞分值 * 系统等级系数 贡献值=漏洞分值 * 系统等级系数 |
