漏洞接受范圍

CSRC 漏洞接受范圍及評定標(biāo)準(zhǔn)
1.春播安全漏洞接受范圍包括如下：
1.1春播網(wǎng)站: *.chunbo.com存在的任何安全漏洞
1.2春播app安全問題
1.3春播服務(wù)器及網(wǎng)絡(luò)設(shè)備安全問題

2.春播安全漏洞評定標(biāo)準(zhǔn)：
根據(jù)漏洞利用的技術(shù)難度,、漏洞造成的影響等進(jìn)行綜合考慮，分為嚴(yán)重、高危,、中危,、低危、無危脅五個等級,。以下是具體的評分標(biāo)準(zhǔn)：
A類嚴(yán)重漏洞.與春播業(yè)務(wù)緊密關(guān)聯(lián)的安全漏洞：
A.1 春播敏感信息泄漏,。包括但不限于重要DB（資金、身份,、交易相關(guān)）的SQL注入漏洞,、包含敏感信息 (春播用戶信息、內(nèi)部服務(wù)器,、網(wǎng)絡(luò)設(shè)備登錄密碼,、春播源代碼)泄漏以及任意文件讀取和下載漏洞（如包含重要服務(wù)口令）等，可獲取大量用戶的身份信息,、訂單信息,、支付信息等接口問題引起的敏感信息泄露。
A.2 對春播業(yè)務(wù)影響較大的漏洞：涉及支付,、嚴(yán)重的邏輯設(shè)計缺陷造成用戶或公司利益受損,。包括但不僅限于通過業(yè)務(wù)接口批量發(fā)送任意偽造消息、任意賬號登錄,、任意賬號密碼修改,、任意賬號資金消費,、訂單遍歷、支付繞過漏洞,、批量修改任意帳號密碼漏洞,，以任意人身份敏感操作的嚴(yán)重問題。
A.3 對春播服務(wù)器,、網(wǎng)絡(luò)設(shè)備影響較大的漏洞,，直接獲取系統(tǒng)權(quán)限（服務(wù)器端權(quán)限、客戶端權(quán)限）的漏洞,。包括但不僅限于：XSS注入,、遠(yuǎn)程命令執(zhí)行、上傳獲取 WebShell,、SQL 注入獲取系統(tǒng)權(quán)限,、緩沖區(qū)溢出（包括可利用的 ActiveX 緩沖區(qū)溢出），導(dǎo)致服務(wù)器,、網(wǎng)絡(luò)設(shè)備遭受攻擊,。
A.4 地下0day漏洞 、未公開漏洞形成的產(chǎn)業(yè)鏈,。
A.5直接導(dǎo)致業(yè)務(wù)拒絕服務(wù)的漏洞,。包括但不僅限于直接導(dǎo)致移動網(wǎng)關(guān)業(yè)務(wù)API業(yè)務(wù)拒絕服務(wù)、網(wǎng)站應(yīng)用拒絕服務(wù)等造成嚴(yán)重影響的遠(yuǎn)程拒絕服務(wù)漏洞,。

B類高危漏洞.與春播業(yè)務(wù)部分關(guān)聯(lián)的安全漏洞：
B.1春播部分敏感信息泄漏,。包括但不僅限于非核心DB SQL注入、源代碼壓縮包泄漏,、服務(wù)器應(yīng)用加密可逆或明文,、移動API訪問摘要、硬編碼等問題引起的敏感信息泄露,。
B.2內(nèi)部系統(tǒng)敏感信息（員工信息,，內(nèi)部系統(tǒng)）泄漏，獲取大量內(nèi)網(wǎng)敏感信息的SSRF,。
B.3 非核心業(yè)務(wù)越權(quán)訪問,。繞過認(rèn)證系統(tǒng)直接訪問管理后臺，直接查看業(yè)務(wù)信息,、核心業(yè)務(wù)非授權(quán)訪問,、業(yè)務(wù)后臺弱密碼等, 賬號越權(quán)修改重要信息、進(jìn)行訂單普通操作,、重要業(yè)務(wù)配置修改等較為重要的越權(quán)行為
B.4能直接盜取網(wǎng)銀等關(guān)鍵業(yè)務(wù)等用戶身份信息的漏洞,。包括：重點頁面的存儲型 XSS 漏洞、普通站點的 SQL 注入漏洞,。
B.5高風(fēng)險的信息泄漏漏洞,。包括但不限于源代碼泄漏,、服務(wù)器及網(wǎng)絡(luò)設(shè)備配置信息泄漏。
B.6可結(jié)合其它安全問題形成的蠕蟲傳播,。包括但不限于XSS,，CSRF等
B.7直接獲取系統(tǒng)權(quán)限的漏洞（移動客戶端權(quán)限）。包括但不僅限于遠(yuǎn)程命令執(zhí)行,、任意代碼執(zhí)行,。
B.8大范圍影響用戶的其他漏洞。包括但不僅限于可造成自動傳播的重要頁面的存儲型XSS（包括存儲型DOM-XSS）和涉及交易,、資金,、密碼CSRF。

C類中危漏洞,。
C.1利用活動刷積分,，排行、注冊刷機(jī),、繞過業(yè)務(wù)限制,、黃牛產(chǎn)業(yè)鏈、薅羊毛,、掃號工具等；
C.2普通信息泄漏,。包括但不僅限于客戶端明文存儲密碼,、客戶端密碼明文傳輸以及web路徑遍歷、系統(tǒng)路徑遍歷
C.3需交互才能獲取用戶身份信息的漏洞,。包括但不限于反射型 XSS(包括反射型 DOM-XSS),、JSON Hijacking、CSRF,、普通業(yè)務(wù)的存儲型 XSS,。
C.4本地拒絕服務(wù)漏洞。包括但不限于客戶端本地拒絕服務(wù)（解析文件格式,、網(wǎng)絡(luò)協(xié)議產(chǎn)生的崩潰）,；由Android組件權(quán)限暴露、普通應(yīng)用權(quán)限引起的問題等,。

D類低危漏洞
D.1驗證碼繞過,、系統(tǒng)被攻擊拒絕服務(wù)等未對用戶造成損失，但對業(yè)務(wù)有影響的情報,；
D.2輕微信息泄漏,。包括但不僅限于路徑信息泄漏、GIT,、SVN 信息泄漏,、phpinfo,、服務(wù)器系統(tǒng)版本信息、軟件版本信息泄漏,；以及客戶端應(yīng)用本地SQL注入（僅泄漏數(shù)據(jù)庫名稱,、字段名、cache內(nèi)容）,、日志打印,、配置信息、異常信息等,。
D.3 URL異常跳轉(zhuǎn),，反射型XSS，運營商流量劫持,。
D.4確定的安全隱患但是難以利用的漏洞,，包括但不僅限于難以利用的SQL注入點、可引起傳播和利用的Self-XSS,、需構(gòu)造部分參數(shù)且有一定影響的CSRF,。

E類無危脅
E.1個別用戶帳號被盜、或少量用戶信息泄漏(用戶自身原因),；
E.2較少的惡意評論,；
E.3 模仿春播頁面的釣魚網(wǎng)站
E.4 販賣分享基金、春播卡
E.5不涉及安全問題的Bug,。包括但不僅限于產(chǎn)品功能缺陷,、網(wǎng)頁亂碼、樣式混亂,、靜態(tài)文件目錄遍歷,、應(yīng)用兼容性等問題。
E.6不能重現(xiàn)的漏洞,。包括但不僅限于經(jīng)安全應(yīng)急響應(yīng)中心確認(rèn)無法重現(xiàn)的漏洞,。
E.7無法利用的漏洞。包括但不僅限于Self-XSS,、無敏感操作的 CSRF,、無意義的異常信息泄漏、內(nèi)網(wǎng) IP 地址/域名泄漏,。