春播,您身边的安心健康食品购买平台!

漏洞接受范围

CSRC 漏洞接受范围及评定标准
1.春播安全漏洞接受范围包括如下:
1.1春播网站: *.chunbo.com存在的任何安全漏洞
1.2春播app安全问题
1.3春播服务器及网络设备安全问题

2.春播安全漏洞评定标准:
根据漏洞利用的技术难度、漏洞造成的影响等进行综合考虑,分为严重、高危、中危、低危、无危胁五个等级。以下是具体的评分标准:
A类严重漏洞.与春播业务紧密关联的安全漏洞:
A.1 春播敏感信息泄漏。包括但不限于重要DB(资金、身份、交易相关)的SQL注入漏洞、包含敏感信息 (春播用户信息、内部服务器、网络设备登录密码、春播源代码)泄漏以及任意文件读取和下载漏洞(如包含重要服务口令)等,可获取大量用户的身份信息、订单信息、支付信息等接口问题引起的敏感信息泄露。
A.2 对春播业务影响较大的漏洞:涉及支付、严重的逻辑设计缺陷造成用户或公司利益受损。包括但不仅限于通过业务接口批量发送任意伪造消息、任意账号登录、任意账号密码修改、任意账号资金消费、订单遍历、支付绕过漏洞、批量修改任意帐号密码漏洞,以任意人身份敏感操作的严重问题。
A.3 对春播服务器、网络设备影响较大的漏洞,直接获取系统权限(服务器端权限、客户端权限)的漏洞。包括但不仅限于:XSS注入、远程命令执行、上传获取 WebShell、SQL 注入获取系统权限、缓冲区溢出(包括可利用的 ActiveX 缓冲区溢出),导致服务器、网络设备遭受攻击。
A.4 地下0day漏洞 、未公开漏洞形成的产业链。
A.5直接导致业务拒绝服务的漏洞。包括但不仅限于直接导致移动网关业务API业务拒绝服务、网站应用拒绝服务等造成严重影响的远程拒绝服务漏洞。

B类高危漏洞.与春播业务部分关联的安全漏洞:
B.1春播部分敏感信息泄漏。包括但不仅限于非核心DB SQL注入、源代码压缩包泄漏、服务器应用加密可逆或明文、移动API访问摘要、硬编码等问题引起的敏感信息泄露。
B.2内部系统敏感信息(员工信息,内部系统)泄漏,获取大量内网敏感信息的SSRF。
B.3 非核心业务越权访问。绕过认证系统直接访问管理后台,直接查看业务信息、核心业务非授权访问、业务后台弱密码等, 账号越权修改重要信息、进行订单普通操作、重要业务配置修改等较为重要的越权行为
B.4能直接盗取网银等关键业务等用户身份信息的漏洞。包括:重点页面的存储型 XSS 漏洞、普通站点的 SQL 注入漏洞。
B.5高风险的信息泄漏漏洞。包括但不限于源代码泄漏、服务器及网络设备配置信息泄漏。
B.6可结合其它安全问题形成的蠕虫传播。包括但不限于XSS,CSRF等
B.7直接获取系统权限的漏洞(移动客户端权限)。包括但不仅限于远程命令执行、任意代码执行。
B.8大范围影响用户的其他漏洞。包括但不仅限于可造成自动传播的重要页面的存储型XSS(包括存储型DOM-XSS)和涉及交易、资金、密码CSRF。

C类中危漏洞。
C.1利用活动刷积分,排行、注册刷机、绕过业务限制、黄牛产业链、薅羊毛、扫号工具等;
C.2普通信息泄漏。包括但不仅限于客户端明文存储密码、客户端密码明文传输以及web路径遍历、系统路径遍历
C.3需交互才能获取用户身份信息的漏洞。包括但不限于反射型 XSS(包括反射型 DOM-XSS)、JSON Hijacking、CSRF、普通业务的存储型 XSS。
C.4本地拒绝服务漏洞。包括但不限于客户端本地拒绝服务(解析文件格式、网络协议产生的崩溃);由Android组件权限暴露、普通应用权限引起的问题等。

D类低危漏洞
D.1验证码绕过、系统被攻击拒绝服务等未对用户造成损失,但对业务有影响的情报;
D.2轻微信息泄漏。包括但不仅限于路径信息泄漏、GIT、SVN 信息泄漏、phpinfo、服务器系统版本信息、软件版本信息泄漏;以及客户端应用本地SQL注入(仅泄漏数据库名称、字段名、cache内容)、日志打印、配置信息、异常信息等。
D.3 URL异常跳转,反射型XSS,运营商流量劫持。
D.4确定的安全隐患但是难以利用的漏洞,包括但不仅限于难以利用的SQL注入点、可引起传播和利用的Self-XSS、需构造部分参数且有一定影响的CSRF。

E类无危胁
E.1个别用户帐号被盗、或少量用户信息泄漏(用户自身原因);
E.2较少的恶意评论;
E.3 模仿春播页面的钓鱼网站
E.4 贩卖分享基金、春播卡
E.5不涉及安全问题的Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性等问题。
E.6不能重现的漏洞。包括但不仅限于经安全应急响应中心确认无法重现的漏洞。
E.7无法利用的漏洞。包括但不仅限于Self-XSS、无敏感操作的 CSRF、无意义的异常信息泄漏、内网 IP 地址/域名泄漏。