V2.0重点更新关注：

1.与V1.0相似的分级结构，所有云产品有一个对应的代码，可直接在官网进行搜索，找到对应的云产品。部分产品若所测试的产品与代码不符，可能不是标准中指的相关产品。

2.“超级资产”、“关键资产”、“核心资产均有较多变化”，并新增“一般资产”，11月15日以前的漏洞按照原1.0标准定级，11月15日及以后的漏洞产品级别参考此标准。

3.阿里云官网等部分非产品类网站不属于云产品，按照ASRC漏洞情报评级总则4.0定级。

4.云产品购买/续费/试用/优惠活动相关的业务逻辑问题，按照ASRC漏洞情报评级总则4.0核心/一般应用判定定级。

5.该标准所有的云产品均为阿里云域名，若相关产品模块为非阿里云的域名，则不属于该标准范围。

一、超级资产

贡献值对应表

漏洞等级	严重漏洞	高危漏洞	中危漏洞	低危漏洞
贡献值	500	200	/	/
安全币	10000	4000	/	/
奖金	100000	40000	/	/

说明：超级资产只有下述特定类型的高危严重漏洞能到达此级别奖励。无限制的利用为严重，存在一定利用难度的为高危。其他类型的高危严重及中低危遵循关键资产评分

资产及风险列表

产品代码	产品名	漏洞描述
acr	容器镜像服务	大面积核心数据泄漏
acs	容器服务	可任意获取容器宿主机权限
aegis	云安全中心（安骑士）	可通过安骑士控制任意客户机器，执行任意命令
cdn	CDN	可任意控制CDN的分发管控等核心功能，或任意控制其他用户CDN资源
cloudbox	云盒	可以攻破核心网段进入内网
csk	容器服务Kubernetes版	可任意获取容器宿主机权限
domain	域名	可任意控制其他用户域名服务
dysms	短信服务	可任意控制其他用户短信服务，伪造发信内容
eci	弹性容器实例	可任意获取容器宿主机权限
ecs	云服务器 ECS	可以攻破核心管控系统获取控制权限
fc	函数计算	获取容器宿主机/虚拟化宿主机权限，获得任意管控集群的权限
idaas	应用身份服务 (IDaaS)	可无条件获取iDaaS实例的管理员权限
iot	物联网平台	可通过物联网平台任意控制不同厂商设备
live	视频直播	可任意完全控制其他用户直播内容
mse	微服务引擎	获得管控集群的权限；批量越权查询/删除region量级的用户数据
oss	对象存储	可任意控制其他用户对象存储
polardb	云原生关系型数据库 PolarDB	可以从公网攻破核心管控系统或可控制其他任意客户数据库实例
ram	访问控制	可绕过访问控制策略进行任意访问，或任意控制其他用户访问控制规则
servicemesh	服务网格	获得管控集群的权限；越权操作任意用户的集群环境；
vpc	专有网络VPC	可以攻破核心管控系统获取控制权限

二、关键资产

贡献值对应表

漏洞等级	严重漏洞	高危漏洞	中危漏洞	低危漏洞
贡献值	200	160	100	40
安全币	3000	1200	150	50
奖金	30000	12000	1500	500

资产及风险列表

产品代码	产品名	产品代码	产品名	产品代码	产品名
ads	云原生数据仓库AnalyticDB MySQL版	dyvms	语音服务	ons	消息队列 MQ
alimail	阿里邮箱	eais	弹性加速计算实例	polarbox	云数据库管理平台
appstreaming	无影云应用	ecsgpu	GPU云服务器	pop	POP网关
bastionhost	运维安全中心（堡垒机）	ens	边缘节点服务 ENS	postgresql	云数据库 PostgreSQL 版
cas	数字证书管理服务（原SSL证书）	faas	FPGA云服务器	rds	关系型数据库
cbn	云企业网	gpdb	云原生数据仓库 AnalyticDB PostgreSQL版	resourcedir	资源目录
cbs	数据库备份	gws	无影云桌面	ros	资源编排
dts	数据传输	hologram	实时数仓 Hologres	sc	实时计算 Flink版
computenest	计算巢服务	hsm	加密服务	scc	超级计算集群
config	配置审计	iiot	工业互联网平台	slb	负载均衡
dcdn	全站加速	kms	密钥管理服务	sls	日志服务
ddh	专有宿主机	kvstore	云数据库 Redis 版	smarthosting	智能全托管服务
dide	大数据开发治理平台 DataWorks	mns	消息服务	sqlserver	云数据库 SQL Server 版
disk	块存储	mongodb	云数据库 MongoDB 版	tair	云原生内存数据库Tair
dms	数据管理	mysql	云数据库 MySQL 版	vod	视频点播
dns	云解析DNS	nas	文件存储NAS	xdb	POLARDB X
drds	云原生分布式数据库 PolarDB-X	odps	云原生大数据计算服务 MaxCompute	xdragon	弹性裸金属服务器
waf	Web应用防火墙

三、核心资产

贡献值对应表

漏洞等级	严重漏洞	高危漏洞	中危漏洞	低危漏洞
贡献值	100	80	50	20
安全币	1000	300	50	20
奖金	10000	3000	500	200

资产及风险列表

产品代码	产品名	产品代码	产品名	产品代码	产品名
ackdistro	容器服务ACK发行版	dlf	数据湖构建	iovcc	智联车管理云平台
acms	应用配置管理	drp	数据资源平台	isoc	IoT安全运营中心
acsm	磐久服务器M系列	dyiot	物联网无线连接服务	learn	机器学习
actiontrail	操作审计	ehpc	弹性高性能计算	linkanalytics	物联网数据分析服务
adp	云原生应用交付平台	elasticsearch	检索分析服务 Elasticsearch版	linkvisual	物联网智能视频服务
alicloudcert	认证服务	emas	移动研发平台	linkwan	物联网络管理平台
alikafka	消息队列Kafka版	energyexpert	能耗宝	beaver	云盾网络检测与响应
alimonitor	云监控系统	entconsole	资源管理	msha	异地多活
alinux	Alibaba Cloud Linux	ess	弹性伸缩	mts	媒体处理
apigateway	API 网关	ettraffic	交通云控平台	oos	运维编排
arms	应用实时监控服务	eventbridge	事件总线	openapiexplorer	OpenAPI Explorer
brainindustrial	工业大脑	expressconnect	高速通道	openplat	开放平台
batchcompute	批量计算	gds	图数据库	ots	表格存储
campuslink	园区物联网平台	genomics	基因分析平台	presto	Starburst联邦分析
cddc	云数据库专属集群	graphcompute	图计算服务 Graph Compute	pts	性能测试
cdp	数据集成 Data Integration	hbase	云数据库HBase版	pvtz	云解析 PrivateZone
cfdcpower	云源力-智慧能源	hbr	混合云备份服务	fnf	Serverless 工作流
cfw	云防火墙	hcs_mgw	闪电立方	sae	Serverless 应用引擎
clickhouse	云数据库 ClickHouse	hcs_sgw	云存储网关	saf	风险识别
cloudauth	实人认证	hdr	混合云容灾服务	sas	云安全中心（态势感知）
cloudcontrol	云控制API	healthcheck	GTS专家服务	scdn	安全加速 SCDN
clouddesktop	云桌面	hitsdb	云原生多模数据库Lindorm	scu	存储容量单位包
cloudera	Cloudera数据平台	hosting	云虚拟主机	sddp	数据安全中心
cloudfw	云盾云防火墙	hpc	高性能计算 HPC	service4mq	阿里云 RocketMQ 订阅服务
cloudphone	弹性云手机	iadoris	交互式分析Doris	anolis	龙蜥操作系统
cloudshell	云命令行	ice	智能媒体服务	spark	Databricks 数据洞察
cms	云监控	imarketing	智能营销引擎	swas	轻量应用服务器
community	社区物联网平台	imm	智能媒体管理	swcopyright	版权与专利服务
companyreg	工商财税	imp	低代码音视频工厂	tearepo	TeaRepo
console	控制台	insoar	反入侵自动化编排系统	tianjimon	集群监控系统
csas	办公安全平台	iotdm	设备管理服务	trademark	商标服务
datahub	数据总线 DataHub	iotedge	物联网边缘计算	vcs	视觉计算服务
datav	DataV数据可视化	iotid	IoT设备身份认证	waf	Web应用防火墙
ddos	DDoS防护	iotmarket	物联网市场标准解决方案	xtrace	链路追踪

注：列表中的anolis指的是开源操作系统，anolis网站为评级标准4.0中的边缘资产

四、一般资产

贡献值对应表

漏洞等级	严重漏洞	高危漏洞	中危漏洞	低危漏洞
贡献值	60	40	30	10
安全币	600	150	30	10
奖金	6000	1500	300	100

资产及风险列表

产品代码	产品名	产品代码	产品名	产品代码	产品名
aiccs	智能联络中心	ecsyingyongzc	ECS应用支持服务	agilebds	敏捷大数据套件
alidfs	文件存储HDFS版	edas	企业级分布式应用服务	airec	智能推荐 AIRec
alivsc	虚拟存储通道	eventmanonsite	云上护航服务（尊享版）驻场包	apsarabds	飞天大数据套件
aliyundvs	数据语音	eventmgtservice	云上稳定性保障服务	bcc	大数据管家
appmesh	应用网格	gemp	运维事件中心	bigdatacst	大数据专家服务
cams	ChatAPP 消息	grafana	Grafana服务	confluent	Confluent 流处理平台
ccp	内容协作平台	gtsdeliver	GTS-专家服务	opensearch	智能开放搜索 OpenSearch
class	互动课堂	guzhangpc	故障排查	emapreduce	开源大数据平台 E-MapReduce
dbfs	数据库文件存储	huanjingdajian	网站基础环境搭建	emr	E-MapReduce
dfs	文件存储HDFS	impaas	即时通信	rfqa	MAYA智能助手-QA引擎
dycdps	流量服务	intelligents	智能中台体系服务	antibot	爬虫风险管理
dypls	号码隐私保护	jiankangzd	数据库实例健康诊断	bpstudio	云速搭
dypns	号码认证服务	managedservice	技术托管服务	comass	合规评估测试
dytns	号码百科	manages	管理中台体系服务	composer	逻辑编排
hcs_hgw	混合云存储	migration	迁云实施服务	dbaudit	数据库审计
intelligentdispatching	阿里云智能调度软件	migrationcons	迁云咨询服务	dragonwell	Dragonwell
oas	归档存储	oms	GOC高级运维服务	dsi	数据安全险
pcdn	PCDN	prometheus	Prometheus监控服务	fdexchange	金融数据开放开台服务
pds	网盘与相册服务	re	推荐引擎	gameshield	游戏盾
vs	视图计算	servicealw	阿里云中间件专家服务	governance	云治理中心
cloudapp	阿里云 App	serviceasps	应用稳定性专业服务	quotas	配额中心
Internetbank	场景金融链接器	shejizixun	架构设计&上云咨询	sdp	身份定义边界
assettech	云行情	shujukjyuan	数据库在线紧急救援	uem	终端访问控制系统
cd	云投屏	shujukuss	数据库上云方案设计与实施	yundun	云盾基础版
citylink	城市物联网平台	shujukuyhua	数据库优化	antifraud	数据风控
cloudap	云AP	shujuqianyi	网站上云数据迁移	cpdr	阿里云合规文档中心
cloudesl	云价签	strategiccons	云化战略咨询服务	grace	应用问题诊断分析平台
cps	移动推送	supportings	配套服务	mobsec	移动安全
edudslp	数字实践平台	supportplan	支持计划	ASAPaaS	敏捷PaaS管控平台
eduplatform	智慧教育平台	tongque	SRE技术保障平台	cbwp	共享带宽
feedback	移动用户反馈	tsmep	业务中台技术解决方案	cdt	云数据传输
finsmtengine	金融智能引擎	txc	全局事务服务	cgw	云接入网关
hotfix	移动热修复	webx	Web应用托管服务	cmn	云网管
httpdns	HTTPDNS	yingyongbz	7*24应用保障	eip	弹性公网IP
iothardware	物联网硬件	yunguanjia	云管家服务	flowbag	共享流量包
ipc	智能云摄像头	zhuanjiabz	云应用专家保障	ga	全球加速
miniappdev	小程序云	ziyuanguanli	云资源管理基础设置	ipv6gateway	IPv6 网关
miot	零售物联网平台	brainindustrial	工业大脑	ipv6trans	IPv6转换服务
mqc	移动测试	datav	DataV数据可视化	nat	NAT网关
salesforce	Salesforce on Alibaba Cloud	drp	数据资源平台	netana	网络智能服务
vmwaresrv	VMware服务	ettraffic	交通云控平台	privatelink	私网连接
crowdtraffic	云推广	genomics	基因分析平台	smartag	智能接入网关
tianchi	天池	healthcheck	GTS专家服务	uis	云连接器
tianchionline	天池大数据众智	iovcc	智联车管理云平台	vpn	VPN网关
yunxi	云栖大会	rdc	云效	idcservers	数据中心服务器运营
alibababcp	多端电商商城	aas	账号服务	wtc	无影硬件终端
aliyunape	数智气象引擎	account	阿里云账号	adc	策略调度中心
cloudgame	云渲染	account-crm	阿里云账号系统	alimt	机器翻译
codestore	机器人流程自动化	account-label	阿里云标签系统	baas	区块链服务
farmlink	农业物联网平台	ackagility	容器服务ACK敏捷版	cab	智能外呼
linkedmall	Linkedmall企业商城	alicloudbsp	运营支撑平台	ccc	云呼叫中心
premiumpics	图片与设计	aliycontract	阿里云官网合同中心	directmail	邮件推送
xgip	5G互联平台	aliyunid-attribute	阿里云属性系统	holowatcher	全息空间
aliosthings	物联网终端操作系统	alyinvoice	阿里云发票	imagesearch	图像搜索
ASS	GOC稳定性咨询服务	aps	阿里云合作伙伴平台	nlp	自然语言处理
Bulter	中间件运维管控系统	authsys	阿里云操作授权系统	ocr	印刷文字识别
accs	运维服务	bssopenapi	阿里云交易和账单管理API	opt	优化求解器
acp	ACA认证	cdop	零售数智决策平台	robot	服务机器人
adcp	分布式云容器平台	cnip	云原生集成平台	sca	智能对话分析
advisor	智能顾问	connect	聆听	smartaide	智能助手
ahas	应用高可用服务	efcservice	企业财务云	tmallgenie	天猫精灵企业版
apds	云迁移中心	msc	阿里云消息中心	vediobot	智能视频客服
archcons	应用架构咨询服务	rds_oracle	云数据库 RDS Oracle版	viapi	视觉智能开放平台
archopti	应用架构优化服务	renewcenter	续费管理中心	nls	智能语音交互
bigdatacons	大数据应用咨询服务	savingplan	节省计划	cloudphoto	智能云相册
bigdataimpl	大数据应用实施服务	cloudhosting	云托付	snsu	边缘网络加速
cloudercert	Apsara Clouder认证	elastic	弹性Web托管	energyexpert	能源大脑
csb	云服务总线	qcs	量子计算模拟平台	dbes	数据库专家服务
datas	数据中台体系服务	smc	服务器迁移中心	ocs	云数据库 Memcache 版
dbopti	云上数据库优化服务	veno-web6	阿里云IPv6网站升级	vertica	分析型数据库Vertica
devopscons	DevOps咨询服务	dg	数据库网关	AIOps	智能基线产品
devopsimpl	云原生交付服务	hdm	数据库自治服务	rsimganalys	数知地球 AI Earth
discovermask	数据梳理及脱敏系统	ppas	云数据库 PPAS 版	lvwang	内容安全
avatar	虚拟数字人	retailbot	新零售智能助理	sos	安全管家
bizworks	BizWorks	cityvisual	城市视觉智能引擎	outboundbot	智能外呼机器人
beebot	智能对话机器人

说明：其他不在上述描述中的云产品，暂时未确认分级，如有需要可与ASRC管理员联系沟通询问级别。

五、漏洞等级

根据漏洞的危害程度将漏洞等级分为【严重】、【高】、【中】、【低】、【无】五个等级。 由ASRC结合利用场景中漏洞的严重程度、利用难度等综合因素给予相应分值的贡献值和漏洞定级，每种等级包含的评分标准及漏洞类型如下：

【 严重 】

本等级包括：

1、业务类：黑产在利用能实际造成海量资损的漏洞，或能直接刷钱的漏洞，不包含拉新活动、云资源的后付费使用、部分无法实际套现的优惠券等。

2、服务端类：获取任意一台核心网络的服务器的权限，或能直接下线应用。

3、网络类：攻击网络或网络设备造成控制或瘫痪系统，使得阿里云关键业务功能不可用/被监听。

4、数据查询类：通过注入或接口泄漏等方式进行核心账号体系敏感信息多元组任意查询，或获取海量重要敏感信息多元组。

5、数据修改类：海量用户身份信息等业务核心功能核心数据的无遍历限制修改、查询。

6、数据存储类：核心敏感业务数据对象存储篡改，如能造成供应链攻击，或业务面临重大风险。

7、信息伪造类：交易及聊天软件场景的批量任意伪造身份并发送任意内容信息。

8、未授权访问类：通过未授权访问后台等方式获得海量服务器的控制权限，且包含业务敏感信息。

9、设计缺陷类：主账号体系的任意账号登录，或主账号体系任意撞库且证明能直接登录的问题；直接能修改业务www首页关键位置信息。

10、APP/客户端类：邮箱和聊天APP/端的远程无条件RCE。

11、云安全类：利用普通用户的ECS、沙箱、docker等权限，提升到宿主机/集群的权限，或利用普通的数据库权限提升获取到实例其中其他用户数据库内容的权限。

【 高 】

本等级包括：

1、业务类：黑产已经在利用能实际造成大量资损或潜在可造成海量资损的漏洞，不包含拉新、云资源的后付费使用、部分无法实际套现的优惠券等。

2、服务端类：

1）获取任意生产应用云上业务的服务器权限；

2）可读取到服务器上敏感文件或能进一步利用；

3）可通过如心脏滴血等类似漏洞随机获取到主账号体系的敏感信息且证明可以利用信息进行账号登录或其他敏感操作；

4）可通过简单手段造成重要业务核心功能DOS；

5）其他可造成进一步扩大攻击的服务端类问题。

3、网络类：网络层HTTP/Socks/TCP代理可进核心网络，或可达核心网络并可完全回显或通过图片等形式回显的SSRF。

4、数据查询类：通过注入或接口泄漏等方式可获取大量敏感信息多元组的，如核心功能核心数据的SQL注入。

5、数据修改类：大量用户身份信息等业务核心功能核心数据的无遍历限制修改、查询。

6、数据存储类：能控制重要数据的存储设备，增删改查大量敏感信息。

7、设计缺陷类：非业务主账号体系的任意密码重置、任意账号登录问题，直接能修改业务子站首页关键位置信息。

8、未授权访问类：通过未授权访问后台等方式获得大量服务器的控制权限，且包含业务敏感信息。

9、前端类：核心功能处可影响所有用户的无交互存储XSS，如阿里云产品详情主页；蠕虫、水坑攻击；影响客服、管理员并可获取到敏感数据或可登录相应管理平台的XSS。

10、APP/客户端类：通过扫码、访问URL等形式造成的远程RCE，通过反编译、解密等进一步造成实际利用的问题。

11、其他可造成重要危害的问题。

【 中 】

本等级包括：

1、业务类：主营业务收费功能的大金额少量次数或小金额大量次数刷取；或非主营业务收费功能绕过付费，如业务上第三方应用多次免费使用、媒体资源绕过绕过付费等。

2、服务端类：

1）服务端配置文件、备份文件泄露、非核心业务数据库SQL注入、少量敏感数据或无重要敏感数据的SQL注入等普通敏感信息泄漏但无法进一步利用；

2）任意文件读取或操作部分非敏感文件或无法进一步利用的；

3）心脏滴血获取到部分敏感信息但无法进一步利用；

4）造成非核心应用DOS；

5）其他有一定危害的服务端类问题。

3、策略绕过类：手机安全锁绕过，二次验证绕过，加密算法破解获取敏感信息。

4、数据查询类：通过注入及接口泄漏等方式可获取少量敏感信息或大量非敏感信息的。

5、数据修改类：少量会员认证身份、订单、服务器、ECS、资金等核心资产核心信息及不涉及上述信息的修改等。

6、数据存储类：能控制一般应用的存储，增删改查部分业务信息等。

7、未授权访问类：通过未授权访问后台含少量敏感信息。

8、账号类：撞库类问题能爆破出数据但无法继续利用的；需要较高利用条件的核心账号体系的任意账号登录，如6位验证码爆破；用户量很少的业务自建账号体系的任意账号登录。

9、前端类：未在高危级别中定义的其他存储XSS，如论坛帖子页面、分享页面等；客户端XSS；无自然流量页面存储XSS；反射XSS；CSRF进行敏感操作；Jsonp劫持敏感信息；CORS劫持敏感信息。

10、APP/客户端类：本地命令执行。

【 低 】

本等级包括：

1、轻微信息泄漏。包括但不仅限于PHPinfo、有少量敏感信息的SVN信息泄漏，以及客户端应用本地SQL注入（仅泄漏数据库名称、字段名、cache内容）、日志打印、配置信息等。

2、需要交互、危害不大或利用较复杂的漏洞。包括但不限于管理功能垂直越权、Post XSS、Postmessage XSS、只影响同一组织内的存储XSS、非重要功能的CSRF操作、需要预测参数的XSS|CSRF等漏洞。

3、轻微的设计缺陷漏洞，如对单个手机的无限短信轰炸漏洞、URL跳转漏洞、页面包含、CRLF、HTML注入。

4、不涉及业务核心功能数据或少量非重要敏感信息的增删改查等越权问题。

【 无 】

0贡献值，0安全币，本等级包括：

1、不涉及安全问题的 Bug。包括但不仅限于产品功能缺陷、异常信息泄露、网页乱码、样式混乱、静态文件目录遍历、应用兼容性等问题。

2、无法直接利用的漏洞。包括但不仅限于路径信息泄漏、Self-XSS、无敏感操作的 CSRF、无意义的异常信息泄漏、内网 IP 地址/域名泄漏、管理后台泄漏、example等默认demo未删除、无敏感信息的SVN信息泄漏、只有固定版本的小众浏览器才能触发的xss、邮件轰炸、轮循多个手机的短信轰炸等。

3、不能直接反映漏洞存在的其他问题。包括但不仅限于纯属用户猜测的问题。

六、漏洞处理一般策略

1.同一应用下大量存在的同一类型漏洞：按正常等级确认前3个；若漏洞都由同一问题点导致的，修复一个漏洞其他也都会被自动修复时，只确认第1个漏洞，如同一过滤函数导致的XSS绕过、框架层漏洞等；

2.同一功能的越权增删改查，只确认1个；相似功能或接口的同一类型漏洞，比如getDetail和getList按第1条规则确认；

3.同一应用下的同一数据库的SQL注入，确认前3个，其中第1个正常确认，后2个降一级确认；

4.0Day类漏洞按实际影响的业务确认，最多确认前3个；无实际影响案例的，不关注；

5.同一组件导致的多个业务问题，确认前3个，比如同一个二方SDK导致的多个APP漏洞；若是同一漏洞源导致的问题，修复一个漏洞其他也都会被自动修复时，只确认第1个漏洞。

6.内部已知的Web漏洞，仍在漏洞处理时效内的，对外按重复驳回；严重超出处理时效的，对外正常确认（已申请不修复，或确认短期内不修复的除外）；

7.内部已知的APP、端上漏洞，对外按重复驳回；

8.外部上报后严重超期未处理的Web漏洞及严重超期的APP类漏洞，对外正常确认（已申请不修复，或确认短期内不修复的除外）；

9.内部安全工具检测到白帽子的漏洞，在一个工作日内上报的，对外正常确认；超出一个工作日上报的，按重复驳回；

10.通过社会工程学（主要是非xss盲打类的钓鱼）获取重要账号登录系统等利用方式，不在收集范围内。

11.云产品中非阿里云域名产生的漏洞，不会按照云产品的奖励规则计算，而会按照实际影响业务的分数逻辑计算。

七、漏洞降级、无效、重复场景

1.需要用户交互才能利用的漏洞，除CSRF、反射XSS、Jsonp劫持等本身就需要交互的前端漏洞外，其他漏洞若需要受害者进行一定动作存在交互成本，如访问攻击者提供的链接、点击页面内容、按键等，降级确认；

2.有一定限制的利用，如任意重置密码需在一定时间内爆破六位验证码、仅在特定环境触发有依赖组件，降级确认；

3.影响用户量或数据量非常小，比如新上线系统只有少量有效用户、旧系统只有少量有效数据等，降级确认；

4.部分环节与其他漏洞重复的利用，降级确认；全部重复的，按重复驳回；

5.URL跳转类需要登录或需要注册固定域名来跳转的，降级确认；

6.利用环节较为复杂，多个漏洞无法组合成简单利用，或是需要结合爆破等问题，需要一定的时间或人力成本的，降级确认；

7.未提供成功案例，只是说明理论可行的，漏洞无效；仅提供漏洞利用结果，未提供漏洞POC的，漏洞无效；

8.只有非Chrome下才能触发的XSS、JSONP等前端漏洞最高为低危；

9.未运行有实际业务的服务器不在关注范围，如云上测试机器的RCE等；影响的数据为测试数据时，漏洞无效；

10.为用户提供服务的子域名下的前端漏洞、部分服务端漏洞不在关注范围，如aliyuncs.com、aliyunpds.com、aliyunidaas.com等。

本标准自2022年11月15日00:00生效，其他未尽事宜，请参考《ASRC漏洞情报评级总则4.0》。