丁香园安全应急响应中心(DXYSRC)

丁香园是中国最大的医疗领域连接者以及数字化领域专业服务提供商。

提交漏洞

DXYSRC漏洞等级评定标准

高危漏洞(奖金:¥1500)

1、直接获取业务服务器权限的漏洞。包括但不限于任意命令执 行、上传webshell、任意代码执行、SQL注入获取系统权限、缓冲区溢出。

2、严重的敏感信息泄漏(除撞库行为或者通过暴力提交行为获取的部分信息)。包括但不仅限于核心 DB(资金、用户身份、订单) 的 SQL 注入,可获取大量核心用户的身份信息、订单信息、银行卡信息等接口问题引起的敏感信息泄露。

3、严重的逻辑设计缺陷和流程缺陷。包括但不仅限于通过业务接口批量发送任意伪造消息、任意账号资金消费、批量修改任意帐号密码漏洞。

4、敏感信息越权访问。包括但不仅限于绕过认证直接访问管理后台、后台弱密码、获取大量内网敏感信息。5、越权敏感操作。包括但不仅限于账号越权修改重要信息、进行订单操作、重要业务配置修改等较为重要的越权行为。

6、大范围影响用户的其他漏洞。包括但不仅限于可造成自动传播的重要页面的存储型XSS和涉及交易、资金、密码。

7、公司内部重要数据泄露

中危漏洞(奖金:¥500)

1、需交互方可影响用户的漏洞。包括但不仅限于一般页面的存储型XSS、重要敏感操作的 CSRF。

2、普通越权操作。包括但不仅限于不正确的直接对象引用、越权查看订单信息、越权查看用户身份信息等。

3、普通信息泄漏。包括但不仅限于客户端明文存储密码、web路径遍历、系统路径遍历。

4、普通的逻辑设计缺陷和流程缺陷

低危漏洞(奖金:¥50)

1、移动客户端安全问题

2、轻微信息泄漏。包括但不仅限于路径信息泄漏、SVN信息泄漏、异常信息泄露,以及客户端应用本地SQL注入(仅泄漏数据库名称、字段名、cache内容)、日志打印、配置信息、异常信息等。

3、难以利用但存在安全隐患的漏洞。包括但不仅限于难以利用的SQL注入点、需构造部分参数且有一定影响的CSRF。

4、对他人造成短信轰炸影响

备注:

以上三个级别问题不包括

1、不涉及安全问题的 Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性等问题。

2、无法利用的漏洞。无敏感操作的 CSRF、无意义的异常信息泄漏、内网 IP 地址/域名泄漏。

3、不能直接反映漏洞存在的其他问题。包括但不仅限于纯属用户猜测的问题。


漏洞评定通用原则

https://www.vulbox.com/faq/?id=196

厂商保护机制

如果同一个系统中短时间发现了大量的同类型高危漏洞(如SQL注入、越权等),审核员判定该系统几乎没有做任何防护,会与厂商沟通该系统的该类型漏洞是否要继续收取;若厂商表示该类漏洞已知不再收取,则平台方正常审核前三个该类型漏洞,其他同类型漏洞均降级处理,并发布通知同系统同类型漏洞均不再收取,直到厂商修复后重新开放该漏洞类型收取。