https://security.alibaba.com/announcement/announcement?spm=0.0.0.0.JpXPhv&id=191

发布日期：2020-4-30

公告内容：本标准自2020年5月1日起执行

由于业务的变迁，近两年我们发布了多个处理标准，我们在此将漏洞奖励标准集中于一处并更新后形成总标准，后续白帽们提交的漏洞情报定级可直接参考此标准内的内容评级。

一、漏洞评级标准
贡献值对应表

安全币对应表

现金对应表（税后）

二、漏洞等级
根据漏洞的危害程度将漏洞等级分为【严重】、【高】、【中】、【低】、【无】五个等级。 由ASRC结合利用场景中漏洞的严重程度、利用难度等综合因素给予相应分值的贡献值和漏洞定级，每种等级包含的评分标准及漏洞类型如下：
【 严重 】
关键应用额外现金奖励2万~10万（人民币）：
Ø 涉及可大批量获取核心业务账号信息、控制用户权限等漏洞；
Ø 涉及可大批量获取核心业务用户敏感信息，如内部员工、订单信息等漏洞；
Ø 涉及可获取重要服务器控制权限等漏洞，如核心内网getshell一台机器可直接额外获2万元。

本等级包括：

1、业务类：黑产在利用能实际造成海量资损的漏洞，或能直接刷钱的漏洞，不包含拉新活动、云资源的后付费使用、部分无法实际套现的优惠券等。
2、服务端类：获取任意一台核心网络的服务器的权限，或能直接下线应用。
3、网络类：攻击网络或网络设备造成控制或瘫痪系统，使得业务核心重要区域不可用/被监听。
4、数据查询类：通过注入或接口泄漏等方式进行核心账号体系敏感信息多元组任意查询，或获取海量重要敏感信息多元组。
5、数据修改类：百万量级以上商品、店铺、会员认证身份、订单、服务器、ECS、资金等业务核心资产核心信息的无遍历限制修改。
6、数据存储类：核心敏感业务数据对象存储篡改，如能造成供应链攻击，或业务面临重大风险。
7、信息伪造类：交易及聊天软件场景的批量任意伪造身份并发送任意内容信息。
8、未授权访问类：通过未授权访问后台等方式获得海量服务器的控制权限，且包含业务敏感信息。
9、设计缺陷类：业务核心账号体系的任意账号登录，或核心账号体系任意撞库且证明能直接登录的问题，直接能修改业务www首页关键位置信息，0元购且能完成交易拿到实物商品。
10、APP/客户端类：邮箱和聊天APP/端的远程无条件RCE。
11、云安全类：利用普通用户的ECS、沙箱、docker等权限，提升到宿主机/集群的权限，或利用普通的数据库权限提升获取到实例其中其他用户数据库内容的权限。

【 高 】
本等级包括：

1、黑产类业务问题：黑产已经在利用能实际造成大量资损或潜在可造成海量资损的漏洞，不包含拉新、云资源的后付费使用、部分无法实际套现的优惠券等。其中CSRF加购物车等中危问题被黑产利用会视情况升级。
2、服务端类：
1）获取任意一台云上业务的业务服务器权限；
2）通过任意文件读取等读取核心应用服务器的/etc/passwd或其他重要文件；
3）心脏滴血获取到三大主账号体系的敏感信息且证明可以利用信息进行账号登录或其他敏感操作；
4）造成核心应用DOS；
5）其他可造成进一步扩大攻击的服务端类问题。
3、网络类：网络层HTTP/Socks/TCP代理可进核心网络，或可达核心网络并有回显的SSRF。
4、数据查询类：通过注入或接口泄漏等方式可获取大量敏感信息多元组的。
5、数据修改类：上万商品、店铺、会员认证身份、订单、服务器、ECS、资金等核心资产核心信息的修改。
6、数据存储类：能控制重要数据的存储，增删改查大量敏感信息。
7、设计缺陷类：重要站点的任意密码重置、任意账号登录问题，直接能修改业务子站首页关键位置信息。
8、未授权访问类：通过未授权访问后台等方式获得大量服务器的控制权限，且包含业务敏感信息。
9、前端类：直接在首页、店铺/商品页面等有大量自然流量页面的存储XSS，蠕虫、水坑攻击，XSS打管理员进后台泄漏敏感信息及操作权限。
11、APP/客户端类：通过扫码、访问URL等形式造成的远程RCE，通过反编译、解密等进一步造成实际利用的问题。
12、其他可造成重要危害的问题。

【 中 】
本等级包括：

1、服务端配置文件、备份文件、SQL注入非核心数据库等普通敏感信息泄漏但无法进一步利用。
2、服务端类：
1）任意文件读取或操作部分非敏感文件或无法进一步利用的；
2）心脏滴血获取到部分敏感信息但无法进一步利用；
3）造成非核心应用DOS；
4）其他有一定危害的服务端类问题。
3、策略绕过类：手机安全锁绕过，二次验证绕过，加密算法破解获取敏感信息。
4、数据查询类：通过注入及接口泄漏等方式可获取少量敏感信息或大量非敏感信息的。
5、数据修改类：少量商品、店铺、会员认证身份、订单、服务器、ECS、资金等核心资产核心信息及不涉及上述信息的修改等。
6、数据存储类：能控制一般应用的存储，增删改查部分业务信息等。
7、普通设计缺陷，包括需要特殊用户身份的管理员垂直越权等。
8、未授权访问类：通过未授权访问后台含少量敏感信息。
9、撞库类问题能爆破出数据的、非重要站点的6位验证码爆破。
10、前端需交互类：CSRF获取Token等敏感信息（如点我链接即可XXXX类）、反射XSS、无自然流量页面存储XSS。

【 低 】
本等级包括：

1、本地拒绝服务漏洞。包括但不仅限于客户端本地拒绝服务（解析文件格式、网络协议产生的崩溃），由Android组件权限暴露、普通应用权限引起的问题等。
2、轻微信息泄漏。包括但不仅限于路径信息泄漏、PHPinfo、异常信息泄露、有少量敏感信息的SVN信息泄漏，以及客户端应用本地SQL注入（仅泄漏数据库名称、字段名、cache内容）、日志打印、配置信息、异常信息等。
3、难以利用但存在安全隐患的漏洞。包括但不仅限于难以利用的SQL注入点、可引起传播和利用的Self-XSS、需构造部分参数且有一定影响的CSRF、非敏感功能的CSRF、子管理员的横向越权、有浏览器限制的反射XSS。
4、需要交互但危害不大的漏洞，普通CSRF操作。
5、轻微的设计缺陷漏洞，如对单个手机的无限短信轰炸漏洞、URL跳转漏洞。

【 无 】
0贡献值，0安全币，本等级包括：

1、不涉及安全问题的 Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性等问题。
2、无法利用的漏洞。包括但不仅限于Self-XSS、无敏感操作的 CSRF、无意义的异常信息泄漏、内网 IP 地址/域名泄漏、管理后台泄漏、example等默认demo未删除、无敏感信息的SVN信息泄漏、只有固定版本的小众浏览器才能触发的xss、邮件轰炸、轮循多个手机的短信轰炸等。
3、不能直接反映漏洞存在的其他问题。包括但不仅限于纯属用户猜测的问题。

三、应用系数
1、关键应用定义为：关键业务中涉及会员、资金、交易、店铺、云主机等重要功能的应用；
2、核心应用定义为：关键业务中不涉及重要功能的应用，及核心业务中涉及重要功能的应用；
3、一般应用定义为：核心业务中不涉及重要功能的应用，及一般业务中涉及重要功能的应用；
4、边缘应用定义为：一般业务中的非核心应用，及由阿里巴巴集团投资公司、合资公司拥有的应用；

四、业务系数
1、关键业务：天猫、淘宝、阿里妈妈、1688、阿里云、菜鸟、钉钉、阿里巴巴国际站、速卖通等；
2、核心业务：阿里招聘、本地生活、飞猪、盒马、高德、闲鱼、DARAZ、LAZADA、Yunos系统、天猫精灵等；
3、一般业务：阿里研究院、阿里健康、达摩院、优酷土豆、UC、虾米、CNZZ、银泰、Yunos网站、端点等；
4、边缘业务：阿里旗下其他业务及非直营业务、合资业务、收购业务等，如斑马、公益基金会、湖畔大学等；
5、部分合作业务只有挂阿里系域名的应用才收、非阿里系域名不收，或只收指定域名，如躺平设计家只收阿里系域名站点，银泰只收部分（linkheer.com 、intime.com.cn 、miaostreet.com）站点；
6、部分停止合作的业务，即使挂阿里系域名也不收，此类随业务策略可能会有变化，如电视淘宝；
7、还有部分站点上有第三方建站的系统，此类基本不收，如万网、高德、阿里体育旗下有许多第三方建站系统；
8、ISV相关业务不在日常收集范围，重要的问题我们会作为情报收集，其他ISV相关问题我们仅在特殊节日中会有专项活动收集。

五、降级及重复场景
1、需要交互的利用，除CSRF及反射XSS等本身就需要交互的漏洞外，其他漏洞若需要受害者进行一定动作存在交互成本，会降级。
2、有一定限制的利用，如任意重置密码需在一定时间内爆破六位验证码、仅在特定环境触发有依赖组件会降级。
3、影响用户量非常小，比如某些系统只有几十个注册用户，会降级。
4、部分环节与其他漏洞重复的利用，会降级，全部重复的会按重复驳回。
5、URL跳转类需要登录或需要注册固定域名来跳转的。
6、利用环节较为复杂，多个漏洞无法组合成简单利用，或是需要结合爆破等问题，需要一定的时间成本（如6位验证码爆破）的。
7、未提供成功案例，只是说明理论可行的。
8、只有非chrome下才能触发的XSS、JSONP等前端漏洞最高为低危。
9、内部已知的Web漏洞-正常确认，内部已知的APP/客户端等漏洞-按重复驳回，内部已知的情报-按重复驳回，外部上报过的漏洞/情报-按重复驳回，高危/严重漏洞修复后复现-正常确认，提交的漏洞之前有人上报过但是此次上报危害更大利用更深-正常确认。

六、敏感信息定义参考
1、敏感信息：身份证等证件卡号码、手机号、邮箱、地址、账号、密码、职级、照片、身份标签、生日等。
2、极度敏感信息：无水印的法定身份信息证件照片、生物识别信息、体检详情信息、完整的通话通信记录、高精度照片、GPS精准定位信息等。
3、非敏感信息：UserID、性别、无意义个性标签、运单所属仓库信息等。
部分敏感信息在单独存在时较难利用，如获得一个网站的注册手机号价值有限，需要配合其他信息组合才能形成有效的敏感信息。

七、评分标准通用原则
1、评分标准仅适用于阿里巴巴集团产品和业务。与阿里巴巴集团完全无关的漏洞，不计贡献值。
2、对于非阿里巴巴集团自身发布的产品和业务，如阿里巴巴集团的投资公司、合资公司、合作区业务，贡献值不超过5，等级不高于【中】，且不保证能按照预定时间处理；如果是阿里巴巴开放平台的第三方应用的漏洞，不计贡献值。
3、第三方产品的漏洞只给第一个提交者计贡献值，最高不超过5贡献值，等级不高于【中】，且不保证修复时长，包括但不限于阿里巴巴集团正在使用的WordPress、Flash插件以及Apache等服务端相关组件、OpenSSL、第三方SDK等；不同版本的同一处漏洞视为相同漏洞。
4、同一个漏洞源产生的多个漏洞计漏洞数量为一，确认前三个，第一个按正常等级，后两个降一级确认。例如影响多个阿里应用的 PHPwind 框架的安全漏洞、同一个 JS 引起的多个安全漏洞、同一个发布系统引起的多个页面的安全漏洞、框架导致的整站的安全漏洞、泛域名解析产生的多个安全漏洞、同个数据库的多个SQL注入漏洞等。
5、各等级漏洞的最终贡献值数量由漏洞利用难度及影响范围等综合因素决定，若漏洞触发条件非常苛刻，包括但不限于特定浏览器才可触发的XSS漏洞，则可跨等级调整贡献值数量。
6、同一漏洞，首位报告者计贡献值，其他报告者均不计。
7、在漏洞未修复之前，被公开的漏洞不计分。
8、报告网上已公开或者在修复前被作者投到其他三方平台的漏洞不计贡献值。
9、同一份报告中提交多个漏洞，只按危害级别最高的漏洞计贡献值。
10、以测试漏洞为借口，利用漏洞进行损害用户利益、影响业务运作、盗取用户数据等行为的，将不会计贡献值，同时阿里巴巴集团保留采取进一步法律行动的权利。
11、SSRF测试的标准：
https://security.alibaba.com/announcement/announcement?id=190
12、Getshell服务器是否在核心内网的判定方式：
curl 100.67.146.236 返回ew开头特定字符串即可判定在核心网络

八、情报评级标准
情报定级标准请参考：
https://security.alibaba.com/announcement/announcement?id=80

九、IoT漏洞-AliOS评级标准
AliOS定级参考：
https://security.alibaba.com/announcement/announcement?id=146

十、通用漏洞评级标准
通用漏洞若能真正影响阿里应用的，请按照漏洞提上来并可备注通用漏洞，不能影响阿里应用的请提交到阿里云先知计划，具体评级标准参考：
https://help.aliyun.com/knowledge_detail/40065.html

十一、ASRC用户授权协议
我们只对阿里系自身的站点做有限授权，对非阿里系网站的测试不在我们授权范围内，如商家站点和阿里云上客户站点请不要随意测试，详细参考：
https://security.alibaba.com/announcement/announcement?id=107

十二、SRC行业测试规范
测试过程中的注意点请参考：
https://security.alibaba.com/announcement/announcement?id=183

十三、ASRC王牌A核心会员分层体系
王牌A会员不仅有小群私聊、项目优先参与权、特殊礼物，更有高危严重漏洞奖励加成-最高100%，细则参考：
https://mp.weixin.qq.com/s/UVxvujsIfEVbVCViJyPKZg

十四、ASRC月度团队奖励
组团来提交漏洞的小伙伴们可以享受团队奖励，细则参考：
https://security.alibaba.com/announcement/announcement?id=52

十五、争议解决办法
在漏洞报告处理过程中，如果报告者对流程处理、漏洞定级、漏洞评分等有异议的，可以通过漏洞详情页面的留言板或者通过即时通讯联系在线工作人员及时沟通。 ASRC将按照漏洞报告者利益优先的原则处理，必要时可引入外部安全人士共同裁定。