阿里云业务漏洞标准v2.0规章制度

石家庄律师 2025-06-05 04:24

V2.0重点更新关注:

1.与V1.0相似的分级结构,所有云产品有一个对应的代码,可直接在官网进行搜索,找到对应的云产品。部分产品若所测试的产品与代码不符,可能不是标准中指的相关产品。

2.“超级资产”、“关键资产”、“核心资产均有较多变化”,并新增“一般资产”,11月15日以前的漏洞按照原1.0标准定级,11月15日及以后的漏洞产品级别参考此标准。

3.阿里云官网等部分非产品类网站不属于云产品,按照ASRC漏洞情报评级总则4.0定级。

4.云产品购买/续费/试用/优惠活动相关的业务逻辑问题,按照ASRC漏洞情报评级总则4.0核心/一般应用判定定级。

5.该标准所有的云产品均为阿里云域名,若相关产品模块为非阿里云的域名,则不属于该标准范围。

一、超级资产

贡献值对应表

漏洞等级

严重漏洞

高危漏洞

中危漏洞

低危漏洞

贡献值

500

200

/

/

安全币

10000

4000

/

/

奖金

100000

40000

/

/

说明:超级资产只有下述特定类型的高危严重漏洞能到达此级别奖励。无限制的利用为严重,存在一定利用难度的为高危。其他类型的高危严重及中低危遵循关键资产评分

资产及风险列表

产品代码

产品名

漏洞描述

acr

容器镜像服务

大面积核心数据泄漏

acs

容器服务

可任意获取容器宿主机权限

aegis

云安全中心(安骑士)

可通过安骑士控制任意客户机器,执行任意命令

cdn

CDN

可任意控制CDN的分发管控等核心功能,或任意控制其他用户CDN资源

cloudbox

云盒

可以攻破核心网段进入内网

csk

容器服务Kubernetes版

可任意获取容器宿主机权限

domain

域名

可任意控制其他用户域名服务

dysms

短信服务

可任意控制其他用户短信服务,伪造发信内容

eci

弹性容器实例

可任意获取容器宿主机权限

ecs

云服务器 ECS

可以攻破核心管控系统获取控制权限

fc

函数计算

获取容器宿主机/虚拟化宿主机权限,获得任意管控集群的权限

idaas

应用身份服务 (IDaaS)

可无条件获取iDaaS实例的管理员权限

iot

物联网平台

可通过物联网平台任意控制不同厂商设备

live

视频直播

可任意完全控制其他用户直播内容

mse

微服务引擎

获得管控集群的权限;批量越权查询/删除region量级的用户数据

oss

对象存储

可任意控制其他用户对象存储

polardb

云原生关系型数据库 PolarDB

可以从公网攻破核心管控系统或可控制其他任意客户数据库实例

ram

访问控制

可绕过访问控制策略进行任意访问,或任意控制其他用户访问控制规则

servicemesh

服务网格

获得管控集群的权限;越权操作任意用户的集群环境;

vpc

专有网络VPC

可以攻破核心管控系统获取控制权限

二、关键资产

贡献值对应表

漏洞等级

严重漏洞

高危漏洞

中危漏洞

低危漏洞

贡献值

200

160

100

40

安全币

3000

1200

150

50

奖金

30000

12000

1500

500

资产及风险列表

产品代码

产品名

产品代码

产品名

产品代码

产品名

ads

云原生数据仓库AnalyticDB MySQL版

dyvms

语音服务

ons

消息队列 MQ

alimail

阿里邮箱

eais

弹性加速计算实例

polarbox

云数据库管理平台

appstreaming

无影云应用

ecsgpu

GPU云服务器

pop

POP网关

bastionhost

运维安全中心(堡垒机)

ens

边缘节点服务 ENS

postgresql

云数据库 PostgreSQL 版

cas

数字证书管理服务(原SSL证书)

faas

FPGA云服务器

rds

关系型数据库

cbn

云企业网

gpdb

云原生数据仓库 AnalyticDB PostgreSQL版

resourcedir

资源目录

cbs

数据库备份

gws

无影云桌面

ros

资源编排

dts

数据传输

hologram

实时数仓 Hologres

sc

实时计算 Flink版

computenest

计算巢服务

hsm

加密服务

scc

超级计算集群

config

配置审计

iiot

工业互联网平台

slb

负载均衡

dcdn

全站加速

kms

密钥管理服务

sls

日志服务

ddh

专有宿主机

kvstore

云数据库 Redis 版

smarthosting

智能全托管服务

dide

大数据开发治理平台 DataWorks

mns

消息服务

sqlserver

云数据库 SQL Server 版

disk

块存储

mongodb

云数据库 MongoDB 版

tair

云原生内存数据库Tair

dms

数据管理

mysql

云数据库 MySQL 版

vod

视频点播

dns

云解析DNS

nas

文件存储NAS

xdb

POLARDB X

drds

云原生分布式数据库 PolarDB-X

odps

云原生大数据计算服务 MaxCompute

xdragon

弹性裸金属服务器

waf

Web应用防火墙





三、核心资产

贡献值对应表

漏洞等级

严重漏洞

高危漏洞

中危漏洞

低危漏洞

贡献值

100

80

50

20

安全币

1000

300

50

20

奖金

10000

3000

500

200

资产及风险列表

产品代码

产品名

产品代码

产品名

产品代码

产品名

ackdistro

容器服务ACK发行版

dlf

数据湖构建

iovcc

智联车管理云平台

acms

应用配置管理

drp

数据资源平台

isoc

IoT安全运营中心

acsm

磐久服务器M系列

dyiot

物联网无线连接服务

learn

机器学习

actiontrail

操作审计

ehpc

弹性高性能计算

linkanalytics

物联网数据分析服务

adp

云原生应用交付平台

elasticsearch

检索分析服务 Elasticsearch版

linkvisual

物联网智能视频服务

alicloudcert

认证服务

emas

移动研发平台

linkwan

物联网络管理平台

alikafka

消息队列Kafka版

energyexpert

能耗宝

beaver

云盾网络检测与响应

alimonitor

云监控系统

entconsole

资源管理

msha

异地多活

alinux

Alibaba Cloud Linux

ess

弹性伸缩

mts

媒体处理

apigateway

API 网关

ettraffic

交通云控平台

oos

运维编排

arms

应用实时监控服务

eventbridge

事件总线

openapiexplorer

OpenAPI Explorer

brainindustrial

工业大脑

expressconnect

高速通道

openplat

开放平台

batchcompute

批量计算

gds

图数据库

ots

表格存储

campuslink

园区物联网平台

genomics

基因分析平台

presto

Starburst联邦分析

cddc

云数据库专属集群

graphcompute

图计算服务 Graph Compute

pts

性能测试

cdp

数据集成 Data Integration

hbase

云数据库HBase版

pvtz

云解析 PrivateZone

cfdcpower

云源力-智慧能源

hbr

混合云备份服务

fnf

Serverless 工作流

cfw

云防火墙

hcs_mgw

闪电立方

sae

Serverless 应用引擎

clickhouse

云数据库 ClickHouse

hcs_sgw

云存储网关

saf

风险识别

cloudauth

实人认证

hdr

混合云容灾服务

sas

云安全中心(态势感知)

cloudcontrol

云控制API

healthcheck

GTS专家服务

scdn

安全加速 SCDN

clouddesktop

云桌面

hitsdb

云原生多模数据库Lindorm

scu

存储容量单位包

cloudera

Cloudera数据平台

hosting

云虚拟主机

sddp

数据安全中心

cloudfw

云盾云防火墙

hpc

高性能计算 HPC

service4mq

阿里云 RocketMQ 订阅服务

cloudphone

弹性云手机

iadoris

交互式分析Doris

anolis

龙蜥操作系统

cloudshell

云命令行

ice

智能媒体服务

spark

Databricks 数据洞察

cms

云监控

imarketing

智能营销引擎

swas

轻量应用服务器

community

社区物联网平台

imm

智能媒体管理

swcopyright

版权与专利服务

companyreg

工商财税

imp

低代码音视频工厂

tearepo

TeaRepo

console

控制台

insoar

反入侵自动化编排系统

tianjimon

集群监控系统

csas

办公安全平台

iotdm

设备管理服务

trademark

商标服务

datahub

数据总线 DataHub

iotedge

物联网边缘计算

vcs

视觉计算服务

datav

DataV数据可视化

iotid

IoT设备身份认证

waf

Web应用防火墙

ddos

DDoS防护

iotmarket

物联网市场标准解决方案

xtrace

链路追踪

注:列表中的anolis指的是开源操作系统,anolis网站为评级标准4.0中的边缘资产

四、一般资产

贡献值对应表

漏洞等级

严重漏洞

高危漏洞

中危漏洞

低危漏洞

贡献值

60

40

30

10

安全币

600

150

30

10

奖金

6000

1500

300

100

资产及风险列表

产品代码

产品名

产品代码

产品名

产品代码

产品名

aiccs

智能联络中心

ecsyingyongzc

ECS应用支持服务

agilebds

敏捷大数据套件

alidfs

文件存储HDFS版

edas

企业级分布式应用服务

airec

智能推荐 AIRec

alivsc

虚拟存储通道

eventmanonsite

云上护航服务(尊享版)驻场包

apsarabds

飞天大数据套件

aliyundvs

数据语音

eventmgtservice

云上稳定性保障服务

bcc

大数据管家

appmesh

应用网格

gemp

运维事件中心

bigdatacst

大数据专家服务

cams

ChatAPP 消息

grafana

Grafana服务

confluent

Confluent 流处理平台

ccp

内容协作平台

gtsdeliver

GTS-专家服务

opensearch

智能开放搜索 OpenSearch

class

互动课堂

guzhangpc

故障排查

emapreduce

开源大数据平台 E-MapReduce

dbfs

数据库文件存储

huanjingdajian

网站基础环境搭建

emr

E-MapReduce

dfs

文件存储HDFS

impaas

即时通信

rfqa

MAYA智能助手-QA引擎

dycdps

流量服务

intelligents

智能中台体系服务

antibot

爬虫风险管理

dypls

号码隐私保护

jiankangzd

数据库实例健康诊断

bpstudio

云速搭

dypns

号码认证服务

managedservice

技术托管服务

comass

合规评估测试

dytns

号码百科

manages

管理中台体系服务

composer

逻辑编排

hcs_hgw

混合云存储

migration

迁云实施服务

dbaudit

数据库审计

intelligentdispatching

阿里云智能调度软件

migrationcons

迁云咨询服务

dragonwell

Dragonwell

oas

归档存储

oms

GOC高级运维服务

dsi

数据安全险

pcdn

PCDN

prometheus

Prometheus监控服务

fdexchange

金融数据开放开台服务

pds

网盘与相册服务

re

推荐引擎

gameshield

游戏盾

vs

视图计算

servicealw

阿里云中间件专家服务

governance

云治理中心

cloudapp

阿里云 App

serviceasps

应用稳定性专业服务

quotas

配额中心

Internetbank

场景金融链接器

shejizixun

架构设计&上云咨询

sdp

身份定义边界

assettech

云行情

shujukjyuan

数据库在线紧急救援

uem

终端访问控制系统

cd

云投屏

shujukuss

数据库上云方案设计与实施

yundun

云盾基础版

citylink

城市物联网平台

shujukuyhua

数据库优化

antifraud

数据风控

cloudap

云AP

shujuqianyi

网站上云数据迁移

cpdr

阿里云合规文档中心

cloudesl

云价签

strategiccons

云化战略咨询服务

grace

应用问题诊断分析平台

cps

移动推送

supportings

配套服务

mobsec

移动安全

edudslp

数字实践平台

supportplan

支持计划

ASAPaaS

敏捷PaaS管控平台

eduplatform

智慧教育平台

tongque

SRE技术保障平台

cbwp

共享带宽

feedback

移动用户反馈

tsmep

业务中台技术解决方案

cdt

云数据传输

finsmtengine

金融智能引擎

txc

全局事务服务

cgw

云接入网关

hotfix

移动热修复

webx

Web应用托管服务

cmn

云网管

httpdns

HTTPDNS

yingyongbz

7*24应用保障

eip

弹性公网IP

iothardware

物联网硬件

yunguanjia

云管家服务

flowbag

共享流量包

ipc

智能云摄像头

zhuanjiabz

云应用专家保障

ga

全球加速

miniappdev

小程序云

ziyuanguanli

云资源管理基础设置

ipv6gateway

IPv6 网关

miot

零售物联网平台

brainindustrial

工业大脑

ipv6trans

IPv6转换服务

mqc

移动测试

datav

DataV数据可视化

nat

NAT网关

salesforce

Salesforce on Alibaba Cloud

drp

数据资源平台

netana

网络智能服务

vmwaresrv

VMware服务

ettraffic

交通云控平台

privatelink

私网连接

crowdtraffic

云推广

genomics

基因分析平台

smartag

智能接入网关

tianchi

天池

healthcheck

GTS专家服务

uis

云连接器

tianchionline

天池大数据众智

iovcc

智联车管理云平台

vpn

VPN网关

yunxi

云栖大会

rdc

云效

idcservers

数据中心服务器运营

alibababcp

多端电商商城

aas

账号服务

wtc

无影硬件终端

aliyunape

数智气象引擎

account

阿里云账号

adc

策略调度中心

cloudgame

云渲染

account-crm

阿里云账号系统

alimt

机器翻译

codestore

机器人流程自动化

account-label

阿里云标签系统

baas

区块链服务

farmlink

农业物联网平台

ackagility

容器服务ACK敏捷版

cab

智能外呼

linkedmall

Linkedmall企业商城

alicloudbsp

运营支撑平台

ccc

云呼叫中心

premiumpics

图片与设计

aliycontract

阿里云官网合同中心

directmail

邮件推送

xgip

5G互联平台

aliyunid-attribute

阿里云属性系统

holowatcher

全息空间

aliosthings

物联网终端操作系统

alyinvoice

阿里云发票

imagesearch

图像搜索

ASS

GOC稳定性咨询服务

aps

阿里云合作伙伴平台

nlp

自然语言处理

Bulter

中间件运维管控系统

authsys

阿里云操作授权系统

ocr

印刷文字识别

accs

运维服务

bssopenapi

阿里云交易和账单管理API

opt

优化求解器

acp

ACA认证

cdop

零售数智决策平台

robot

服务机器人

adcp

分布式云容器平台

cnip

云原生集成平台

sca

智能对话分析

advisor

智能顾问

connect

聆听

smartaide

智能助手

ahas

应用高可用服务

efcservice

企业财务云

tmallgenie

天猫精灵企业版

apds

云迁移中心

msc

阿里云消息中心

vediobot

智能视频客服

archcons

应用架构咨询服务

rds_oracle

云数据库 RDS Oracle版

viapi

视觉智能开放平台

archopti

应用架构优化服务

renewcenter

续费管理中心

nls

智能语音交互

bigdatacons

大数据应用咨询服务

savingplan

节省计划

cloudphoto

智能云相册

bigdataimpl

大数据应用实施服务

cloudhosting

云托付

snsu

边缘网络加速

cloudercert

Apsara Clouder认证

elastic

弹性Web托管

energyexpert

能源大脑

csb

云服务总线

qcs

量子计算模拟平台

dbes

数据库专家服务

datas

数据中台体系服务

smc

服务器迁移中心

ocs

云数据库 Memcache 版

dbopti

云上数据库优化服务

veno-web6

阿里云IPv6网站升级

vertica

分析型数据库Vertica

devopscons

DevOps咨询服务

dg

数据库网关

AIOps

智能基线产品

devopsimpl

云原生交付服务

hdm

数据库自治服务

rsimganalys

数知地球 AI Earth

discovermask

数据梳理及脱敏系统

ppas

云数据库 PPAS 版

lvwang

内容安全

avatar

虚拟数字人

retailbot

新零售智能助理

sos

安全管家

bizworks

BizWorks

cityvisual

城市视觉智能引擎

outboundbot

智能外呼机器人

beebot

智能对话机器人





说明:其他不在上述描述中的云产品,暂时未确认分级,如有需要可与ASRC管理员联系沟通询问级别。

五、漏洞等级

根据漏洞的危害程度将漏洞等级分为【严重】、【高】、【中】、【低】、【无】五个等级。 由ASRC结合利用场景中漏洞的严重程度、利用难度等综合因素给予相应分值的贡献值和漏洞定级,每种等级包含的评分标准及漏洞类型如下:

【 严重 】

本等级包括:

1、业务类:黑产在利用能实际造成海量资损的漏洞,或能直接刷钱的漏洞,不包含拉新活动、云资源的后付费使用、部分无法实际套现的优惠券等。

2、服务端类:获取任意一台核心网络的服务器的权限,或能直接下线应用。

3、网络类:攻击网络或网络设备造成控制或瘫痪系统,使得阿里云关键业务功能不可用/被监听。

4、数据查询类:通过注入或接口泄漏等方式进行核心账号体系敏感信息多元组任意查询,或获取海量重要敏感信息多元组。

5、数据修改类:海量用户身份信息等业务核心功能核心数据的无遍历限制修改、查询。

6、数据存储类:核心敏感业务数据对象存储篡改,如能造成供应链攻击,或业务面临重大风险。

7、信息伪造类:交易及聊天软件场景的批量任意伪造身份并发送任意内容信息。

8、未授权访问类:通过未授权访问后台等方式获得海量服务器的控制权限,且包含业务敏感信息。

9、设计缺陷类:主账号体系的任意账号登录,或主账号体系任意撞库且证明能直接登录的问题;直接能修改业务www首页关键位置信息。

10、APP/客户端类:邮箱和聊天APP/端的远程无条件RCE。

11、云安全类:利用普通用户的ECS、沙箱、docker等权限,提升到宿主机/集群的权限,或利用普通的数据库权限提升获取到实例其中其他用户数据库内容的权限。

【 高 】

本等级包括:

1、业务类:黑产已经在利用能实际造成大量资损或潜在可造成海量资损的漏洞,不包含拉新、云资源的后付费使用、部分无法实际套现的优惠券等。

2、服务端类:

1)获取任意生产应用云上业务的服务器权限;

2)可读取到服务器上敏感文件或能进一步利用;

3)可通过如心脏滴血等类似漏洞随机获取到主账号体系的敏感信息且证明可以利用信息进行账号登录或其他敏感操作;

4)可通过简单手段造成重要业务核心功能DOS;

5)其他可造成进一步扩大攻击的服务端类问题。

3、网络类:网络层HTTP/Socks/TCP代理可进核心网络,或可达核心网络并可完全回显或通过图片等形式回显的SSRF。

4、数据查询类:通过注入或接口泄漏等方式可获取大量敏感信息多元组的,如核心功能核心数据的SQL注入。

5、数据修改类:大量用户身份信息等业务核心功能核心数据的无遍历限制修改、查询。

6、数据存储类:能控制重要数据的存储设备,增删改查大量敏感信息。

7、设计缺陷类:非业务主账号体系的任意密码重置、任意账号登录问题,直接能修改业务子站首页关键位置信息。

8、未授权访问类:通过未授权访问后台等方式获得大量服务器的控制权限,且包含业务敏感信息。

9、前端类:核心功能处可影响所有用户的无交互存储XSS,如阿里云产品详情主页;蠕虫、水坑攻击;影响客服、管理员并可获取到敏感数据或可登录相应管理平台的XSS。

10、APP/客户端类:通过扫码、访问URL等形式造成的远程RCE,通过反编译、解密等进一步造成实际利用的问题。

11、其他可造成重要危害的问题。

【 中 】

本等级包括:

1、业务类:主营业务收费功能的大金额少量次数或小金额大量次数刷取;或非主营业务收费功能绕过付费,如业务上第三方应用多次免费使用、媒体资源绕过绕过付费等。

2、服务端类:

1)服务端配置文件、备份文件泄露、非核心业务数据库SQL注入、少量敏感数据或无重要敏感数据的SQL注入等普通敏感信息泄漏但无法进一步利用;

2)任意文件读取或操作部分非敏感文件或无法进一步利用的;

3)心脏滴血获取到部分敏感信息但无法进一步利用;

4)造成非核心应用DOS;

5)其他有一定危害的服务端类问题。

3、策略绕过类:手机安全锁绕过,二次验证绕过,加密算法破解获取敏感信息。

4、数据查询类:通过注入及接口泄漏等方式可获取少量敏感信息或大量非敏感信息的。

5、数据修改类:少量会员认证身份、订单、服务器、ECS、资金等核心资产核心信息及不涉及上述信息的修改等。

6、数据存储类:能控制一般应用的存储,增删改查部分业务信息等。

7、未授权访问类:通过未授权访问后台含少量敏感信息。

8、账号类:撞库类问题能爆破出数据但无法继续利用的;需要较高利用条件的核心账号体系的任意账号登录,如6位验证码爆破;用户量很少的业务自建账号体系的任意账号登录。

9、前端类:未在高危级别中定义的其他存储XSS,如论坛帖子页面、分享页面等;客户端XSS;无自然流量页面存储XSS;反射XSS;CSRF进行敏感操作;Jsonp劫持敏感信息;CORS劫持敏感信息。

10、APP/客户端类:本地命令执行。

【 低 】

本等级包括:

1、轻微信息泄漏。包括但不仅限于PHPinfo、有少量敏感信息的SVN信息泄漏,以及客户端应用本地SQL注入(仅泄漏数据库名称、字段名、cache内容)、日志打印、配置信息等。

2、需要交互、危害不大或利用较复杂的漏洞。包括但不限于管理功能垂直越权、Post XSS、Postmessage XSS、只影响同一组织内的存储XSS、非重要功能的CSRF操作、需要预测参数的XSS|CSRF等漏洞。

3、轻微的设计缺陷漏洞,如对单个手机的无限短信轰炸漏洞、URL跳转漏洞、页面包含、CRLF、HTML注入。

4、不涉及业务核心功能数据或少量非重要敏感信息的增删改查等越权问题。

【 无 】

0贡献值,0安全币,本等级包括:

1、不涉及安全问题的 Bug。包括但不仅限于产品功能缺陷、异常信息泄露、网页乱码、样式混乱、静态文件目录遍历、应用兼容性等问题。

2、无法直接利用的漏洞。包括但不仅限于路径信息泄漏、Self-XSS、无敏感操作的 CSRF、无意义的异常信息泄漏、内网 IP 地址/域名泄漏、管理后台泄漏、example等默认demo未删除、无敏感信息的SVN信息泄漏、只有固定版本的小众浏览器才能触发的xss、邮件轰炸、轮循多个手机的短信轰炸等。

3、不能直接反映漏洞存在的其他问题。包括但不仅限于纯属用户猜测的问题。

六、漏洞处理一般策略

1.同一应用下大量存在的同一类型漏洞:按正常等级确认前3个;若漏洞都由同一问题点导致的,修复一个漏洞其他也都会被自动修复时,只确认第1个漏洞,如同一过滤函数导致的XSS绕过、框架层漏洞等;

2.同一功能的越权增删改查,只确认1个;相似功能或接口的同一类型漏洞,比如getDetail和getList按第1条规则确认;

3.同一应用下的同一数据库的SQL注入,确认前3个,其中第1个正常确认,后2个降一级确认;

4.0Day类漏洞按实际影响的业务确认,最多确认前3个;无实际影响案例的,不关注;

5.同一组件导致的多个业务问题,确认前3个,比如同一个二方SDK导致的多个APP漏洞;若是同一漏洞源导致的问题,修复一个漏洞其他也都会被自动修复时,只确认第1个漏洞。

6.内部已知的Web漏洞,仍在漏洞处理时效内的,对外按重复驳回;严重超出处理时效的,对外正常确认(已申请不修复,或确认短期内不修复的除外);

7.内部已知的APP、端上漏洞,对外按重复驳回;

8.外部上报后严重超期未处理的Web漏洞及严重超期的APP类漏洞,对外正常确认(已申请不修复,或确认短期内不修复的除外);

9.内部安全工具检测到白帽子的漏洞,在一个工作日内上报的,对外正常确认;超出一个工作日上报的,按重复驳回;

10.通过社会工程学(主要是非xss盲打类的钓鱼)获取重要账号登录系统等利用方式,不在收集范围内。

11.云产品中非阿里云域名产生的漏洞,不会按照云产品的奖励规则计算,而会按照实际影响业务的分数逻辑计算。

七、漏洞降级、无效、重复场景

1.需要用户交互才能利用的漏洞,除CSRF、反射XSS、Jsonp劫持等本身就需要交互的前端漏洞外,其他漏洞若需要受害者进行一定动作存在交互成本,如访问攻击者提供的链接、点击页面内容、按键等,降级确认;

2.有一定限制的利用,如任意重置密码需在一定时间内爆破六位验证码、仅在特定环境触发有依赖组件,降级确认;

3.影响用户量或数据量非常小,比如新上线系统只有少量有效用户、旧系统只有少量有效数据等,降级确认;

4.部分环节与其他漏洞重复的利用,降级确认;全部重复的,按重复驳回;

5.URL跳转类需要登录或需要注册固定域名来跳转的,降级确认;

6.利用环节较为复杂,多个漏洞无法组合成简单利用,或是需要结合爆破等问题,需要一定的时间或人力成本的,降级确认;

7.未提供成功案例,只是说明理论可行的,漏洞无效;仅提供漏洞利用结果,未提供漏洞POC的,漏洞无效;

8.只有非Chrome下才能触发的XSS、JSONP等前端漏洞最高为低危;

9.未运行有实际业务的服务器不在关注范围,如云上测试机器的RCE等;影响的数据为测试数据时,漏洞无效;

10.为用户提供服务的子域名下的前端漏洞、部分服务端漏洞不在关注范围,如aliyuncs.com、aliyunpds.com、aliyunidaas.com等。

本标准自2022年11月15日00:00生效,其他未尽事宜,请参考《ASRC漏洞情报评级总则4.0》。

延伸阅读
您身边的法律专家 快速匹配专业律师,
一对一解决您的法律问题,
已提供49958次咨询
0/500 发送