阿里云业务漏洞标准v2.0规章制度
V2.0重点更新关注:
1.与V1.0相似的分级结构,所有云产品有一个对应的代码,可直接在官网进行搜索,找到对应的云产品。部分产品若所测试的产品与代码不符,可能不是标准中指的相关产品。
2.“超级资产”、“关键资产”、“核心资产均有较多变化”,并新增“一般资产”,11月15日以前的漏洞按照原1.0标准定级,11月15日及以后的漏洞产品级别参考此标准。
3.阿里云官网等部分非产品类网站不属于云产品,按照ASRC漏洞情报评级总则4.0定级。
4.云产品购买/续费/试用/优惠活动相关的业务逻辑问题,按照ASRC漏洞情报评级总则4.0核心/一般应用判定定级。
5.该标准所有的云产品均为阿里云域名,若相关产品模块为非阿里云的域名,则不属于该标准范围。
1.与V1.0相似的分级结构,所有云产品有一个对应的代码,可直接在官网进行搜索,找到对应的云产品。部分产品若所测试的产品与代码不符,可能不是标准中指的相关产品。
2.“超级资产”、“关键资产”、“核心资产均有较多变化”,并新增“一般资产”,11月15日以前的漏洞按照原1.0标准定级,11月15日及以后的漏洞产品级别参考此标准。
3.阿里云官网等部分非产品类网站不属于云产品,按照ASRC漏洞情报评级总则4.0定级。
4.云产品购买/续费/试用/优惠活动相关的业务逻辑问题,按照ASRC漏洞情报评级总则4.0核心/一般应用判定定级。
5.该标准所有的云产品均为阿里云域名,若相关产品模块为非阿里云的域名,则不属于该标准范围。
一、超级资产
贡献值对应表
漏洞等级
严重漏洞
高危漏洞
中危漏洞
低危漏洞
贡献值
500
200
/
/
安全币
10000
4000
/
/
奖金
100000
40000
/
/
说明:超级资产只有下述特定类型的高危严重漏洞能到达此级别奖励。无限制的利用为严重,存在一定利用难度的为高危。其他类型的高危严重及中低危遵循关键资产评分
资产及风险列表
产品代码
产品名
漏洞描述
acr
容器镜像服务
大面积核心数据泄漏
acs
容器服务
可任意获取容器宿主机权限
aegis
云安全中心(安骑士)
可通过安骑士控制任意客户机器,执行任意命令
cdn
CDN
可任意控制CDN的分发管控等核心功能,或任意控制其他用户CDN资源
cloudbox
云盒
可以攻破核心网段进入内网
csk
容器服务Kubernetes版
可任意获取容器宿主机权限
domain
域名
可任意控制其他用户域名服务
dysms
短信服务
可任意控制其他用户短信服务,伪造发信内容
eci
弹性容器实例
可任意获取容器宿主机权限
ecs
云服务器 ECS
可以攻破核心管控系统获取控制权限
fc
函数计算
获取容器宿主机/虚拟化宿主机权限,获得任意管控集群的权限
idaas
应用身份服务 (IDaaS)
可无条件获取iDaaS实例的管理员权限
iot
物联网平台
可通过物联网平台任意控制不同厂商设备
live
视频直播
可任意完全控制其他用户直播内容
mse
微服务引擎
获得管控集群的权限;批量越权查询/删除region量级的用户数据
oss
对象存储
可任意控制其他用户对象存储
polardb
云原生关系型数据库 PolarDB
可以从公网攻破核心管控系统或可控制其他任意客户数据库实例
ram
访问控制
可绕过访问控制策略进行任意访问,或任意控制其他用户访问控制规则
servicemesh
服务网格
获得管控集群的权限;越权操作任意用户的集群环境;
vpc
专有网络VPC
可以攻破核心管控系统获取控制权限
贡献值对应表
漏洞等级 | 严重漏洞 | 高危漏洞 | 中危漏洞 | 低危漏洞 |
贡献值 | 500 | 200 | / | / |
安全币 | 10000 | 4000 | / | / |
奖金 | 100000 | 40000 | / | / |
说明:超级资产只有下述特定类型的高危严重漏洞能到达此级别奖励。无限制的利用为严重,存在一定利用难度的为高危。其他类型的高危严重及中低危遵循关键资产评分
资产及风险列表
产品代码 | 产品名 | 漏洞描述 |
acr | 容器镜像服务 | 大面积核心数据泄漏 |
acs | 容器服务 | 可任意获取容器宿主机权限 |
aegis | 云安全中心(安骑士) | 可通过安骑士控制任意客户机器,执行任意命令 |
cdn | CDN | 可任意控制CDN的分发管控等核心功能,或任意控制其他用户CDN资源 |
cloudbox | 云盒 | 可以攻破核心网段进入内网 |
csk | 容器服务Kubernetes版 | 可任意获取容器宿主机权限 |
domain | 域名 | 可任意控制其他用户域名服务 |
dysms | 短信服务 | 可任意控制其他用户短信服务,伪造发信内容 |
eci | 弹性容器实例 | 可任意获取容器宿主机权限 |
ecs | 云服务器 ECS | 可以攻破核心管控系统获取控制权限 |
fc | 函数计算 | 获取容器宿主机/虚拟化宿主机权限,获得任意管控集群的权限 |
idaas | 应用身份服务 (IDaaS) | 可无条件获取iDaaS实例的管理员权限 |
iot | 物联网平台 | 可通过物联网平台任意控制不同厂商设备 |
live | 视频直播 | 可任意完全控制其他用户直播内容 |
mse | 微服务引擎 | 获得管控集群的权限;批量越权查询/删除region量级的用户数据 |
oss | 对象存储 | 可任意控制其他用户对象存储 |
polardb | 云原生关系型数据库 PolarDB | 可以从公网攻破核心管控系统或可控制其他任意客户数据库实例 |
ram | 访问控制 | 可绕过访问控制策略进行任意访问,或任意控制其他用户访问控制规则 |
servicemesh | 服务网格 | 获得管控集群的权限;越权操作任意用户的集群环境; |
vpc | 专有网络VPC | 可以攻破核心管控系统获取控制权限 |
二、关键资产
贡献值对应表
漏洞等级
严重漏洞
高危漏洞
中危漏洞
低危漏洞
贡献值
200
160
100
40
安全币
3000
1200
150
50
奖金
30000
12000
1500
500
资产及风险列表
产品代码
产品名
产品代码
产品名
产品代码
产品名
ads
云原生数据仓库AnalyticDB MySQL版
dyvms
语音服务
ons
消息队列 MQ
alimail
阿里邮箱
eais
弹性加速计算实例
polarbox
云数据库管理平台
appstreaming
无影云应用
ecsgpu
GPU云服务器
pop
POP网关
bastionhost
运维安全中心(堡垒机)
ens
边缘节点服务 ENS
postgresql
云数据库 PostgreSQL 版
cas
数字证书管理服务(原SSL证书)
faas
FPGA云服务器
rds
关系型数据库
cbn
云企业网
gpdb
云原生数据仓库 AnalyticDB PostgreSQL版
resourcedir
资源目录
cbs
数据库备份
gws
无影云桌面
ros
资源编排
dts
数据传输
hologram
实时数仓 Hologres
sc
实时计算 Flink版
computenest
计算巢服务
hsm
加密服务
scc
超级计算集群
config
配置审计
iiot
工业互联网平台
slb
负载均衡
dcdn
全站加速
kms
密钥管理服务
sls
日志服务
ddh
专有宿主机
kvstore
云数据库 Redis 版
smarthosting
智能全托管服务
dide
大数据开发治理平台 DataWorks
mns
消息服务
sqlserver
云数据库 SQL Server 版
disk
块存储
mongodb
云数据库 MongoDB 版
tair
云原生内存数据库Tair
dms
数据管理
mysql
云数据库 MySQL 版
vod
视频点播
dns
云解析DNS
nas
文件存储NAS
xdb
POLARDB X
drds
云原生分布式数据库 PolarDB-X
odps
云原生大数据计算服务 MaxCompute
xdragon
弹性裸金属服务器
waf
Web应用防火墙
贡献值对应表
漏洞等级 | 严重漏洞 | 高危漏洞 | 中危漏洞 | 低危漏洞 |
贡献值 | 200 | 160 | 100 | 40 |
安全币 | 3000 | 1200 | 150 | 50 |
奖金 | 30000 | 12000 | 1500 | 500 |
资产及风险列表
产品代码 | 产品名 | 产品代码 | 产品名 | 产品代码 | 产品名 |
ads | 云原生数据仓库AnalyticDB MySQL版 | dyvms | 语音服务 | ons | 消息队列 MQ |
alimail | 阿里邮箱 | eais | 弹性加速计算实例 | polarbox | 云数据库管理平台 |
appstreaming | 无影云应用 | ecsgpu | GPU云服务器 | pop | POP网关 |
bastionhost | 运维安全中心(堡垒机) | ens | 边缘节点服务 ENS | postgresql | 云数据库 PostgreSQL 版 |
cas | 数字证书管理服务(原SSL证书) | faas | FPGA云服务器 | rds | 关系型数据库 |
cbn | 云企业网 | gpdb | 云原生数据仓库 AnalyticDB PostgreSQL版 | resourcedir | 资源目录 |
cbs | 数据库备份 | gws | 无影云桌面 | ros | 资源编排 |
dts | 数据传输 | hologram | 实时数仓 Hologres | sc | 实时计算 Flink版 |
computenest | 计算巢服务 | hsm | 加密服务 | scc | 超级计算集群 |
config | 配置审计 | iiot | 工业互联网平台 | slb | 负载均衡 |
dcdn | 全站加速 | kms | 密钥管理服务 | sls | 日志服务 |
ddh | 专有宿主机 | kvstore | 云数据库 Redis 版 | smarthosting | 智能全托管服务 |
dide | 大数据开发治理平台 DataWorks | mns | 消息服务 | sqlserver | 云数据库 SQL Server 版 |
disk | 块存储 | mongodb | 云数据库 MongoDB 版 | tair | 云原生内存数据库Tair |
dms | 数据管理 | mysql | 云数据库 MySQL 版 | vod | 视频点播 |
dns | 云解析DNS | nas | 文件存储NAS | xdb | POLARDB X |
drds | 云原生分布式数据库 PolarDB-X | odps | 云原生大数据计算服务 MaxCompute | xdragon | 弹性裸金属服务器 |
waf | Web应用防火墙 |
三、核心资产
贡献值对应表
漏洞等级
严重漏洞
高危漏洞
中危漏洞
低危漏洞
贡献值
100
80
50
20
安全币
1000
300
50
20
奖金
10000
3000
500
200
资产及风险列表
产品代码
产品名
产品代码
产品名
产品代码
产品名
ackdistro
容器服务ACK发行版
dlf
数据湖构建
iovcc
智联车管理云平台
acms
应用配置管理
drp
数据资源平台
isoc
IoT安全运营中心
acsm
磐久服务器M系列
dyiot
物联网无线连接服务
learn
机器学习
actiontrail
操作审计
ehpc
弹性高性能计算
linkanalytics
物联网数据分析服务
adp
云原生应用交付平台
elasticsearch
检索分析服务 Elasticsearch版
linkvisual
物联网智能视频服务
alicloudcert
认证服务
emas
移动研发平台
linkwan
物联网络管理平台
alikafka
消息队列Kafka版
energyexpert
能耗宝
beaver
云盾网络检测与响应
alimonitor
云监控系统
entconsole
资源管理
msha
异地多活
alinux
Alibaba Cloud Linux
ess
弹性伸缩
mts
媒体处理
apigateway
API 网关
ettraffic
交通云控平台
oos
运维编排
arms
应用实时监控服务
eventbridge
事件总线
openapiexplorer
OpenAPI Explorer
brainindustrial
工业大脑
expressconnect
高速通道
openplat
开放平台
batchcompute
批量计算
gds
图数据库
ots
表格存储
campuslink
园区物联网平台
genomics
基因分析平台
presto
Starburst联邦分析
cddc
云数据库专属集群
graphcompute
图计算服务 Graph Compute
pts
性能测试
cdp
数据集成 Data Integration
hbase
云数据库HBase版
pvtz
云解析 PrivateZone
cfdcpower
云源力-智慧能源
hbr
混合云备份服务
fnf
Serverless 工作流
cfw
云防火墙
hcs_mgw
闪电立方
sae
Serverless 应用引擎
clickhouse
云数据库 ClickHouse
hcs_sgw
云存储网关
saf
风险识别
cloudauth
实人认证
hdr
混合云容灾服务
sas
云安全中心(态势感知)
cloudcontrol
云控制API
healthcheck
GTS专家服务
scdn
安全加速 SCDN
clouddesktop
云桌面
hitsdb
云原生多模数据库Lindorm
scu
存储容量单位包
cloudera
Cloudera数据平台
hosting
云虚拟主机
sddp
数据安全中心
cloudfw
云盾云防火墙
hpc
高性能计算 HPC
service4mq
阿里云 RocketMQ 订阅服务
cloudphone
弹性云手机
iadoris
交互式分析Doris
anolis
龙蜥操作系统
cloudshell
云命令行
ice
智能媒体服务
spark
Databricks 数据洞察
cms
云监控
imarketing
智能营销引擎
swas
轻量应用服务器
community
社区物联网平台
imm
智能媒体管理
swcopyright
版权与专利服务
companyreg
工商财税
imp
低代码音视频工厂
tearepo
TeaRepo
console
控制台
insoar
反入侵自动化编排系统
tianjimon
集群监控系统
csas
办公安全平台
iotdm
设备管理服务
trademark
商标服务
datahub
数据总线 DataHub
iotedge
物联网边缘计算
vcs
视觉计算服务
datav
DataV数据可视化
iotid
IoT设备身份认证
waf
Web应用防火墙
ddos
DDoS防护
iotmarket
物联网市场标准解决方案
xtrace
链路追踪
注:列表中的anolis指的是开源操作系统,anolis网站为评级标准4.0中的边缘资产
贡献值对应表
漏洞等级 | 严重漏洞 | 高危漏洞 | 中危漏洞 | 低危漏洞 |
贡献值 | 100 | 80 | 50 | 20 |
安全币 | 1000 | 300 | 50 | 20 |
奖金 | 10000 | 3000 | 500 | 200 |
资产及风险列表
产品代码 | 产品名 | 产品代码 | 产品名 | 产品代码 | 产品名 |
ackdistro | 容器服务ACK发行版 | dlf | 数据湖构建 | iovcc | 智联车管理云平台 |
acms | 应用配置管理 | drp | 数据资源平台 | isoc | IoT安全运营中心 |
acsm | 磐久服务器M系列 | dyiot | 物联网无线连接服务 | learn | 机器学习 |
actiontrail | 操作审计 | ehpc | 弹性高性能计算 | linkanalytics | 物联网数据分析服务 |
adp | 云原生应用交付平台 | elasticsearch | 检索分析服务 Elasticsearch版 | linkvisual | 物联网智能视频服务 |
alicloudcert | 认证服务 | emas | 移动研发平台 | linkwan | 物联网络管理平台 |
alikafka | 消息队列Kafka版 | energyexpert | 能耗宝 | beaver | 云盾网络检测与响应 |
alimonitor | 云监控系统 | entconsole | 资源管理 | msha | 异地多活 |
alinux | Alibaba Cloud Linux | ess | 弹性伸缩 | mts | 媒体处理 |
apigateway | API 网关 | ettraffic | 交通云控平台 | oos | 运维编排 |
arms | 应用实时监控服务 | eventbridge | 事件总线 | openapiexplorer | OpenAPI Explorer |
brainindustrial | 工业大脑 | expressconnect | 高速通道 | openplat | 开放平台 |
batchcompute | 批量计算 | gds | 图数据库 | ots | 表格存储 |
campuslink | 园区物联网平台 | genomics | 基因分析平台 | presto | Starburst联邦分析 |
cddc | 云数据库专属集群 | graphcompute | 图计算服务 Graph Compute | pts | 性能测试 |
cdp | 数据集成 Data Integration | hbase | 云数据库HBase版 | pvtz | 云解析 PrivateZone |
cfdcpower | 云源力-智慧能源 | hbr | 混合云备份服务 | fnf | Serverless 工作流 |
cfw | 云防火墙 | hcs_mgw | 闪电立方 | sae | Serverless 应用引擎 |
clickhouse | 云数据库 ClickHouse | hcs_sgw | 云存储网关 | saf | 风险识别 |
cloudauth | 实人认证 | hdr | 混合云容灾服务 | sas | 云安全中心(态势感知) |
cloudcontrol | 云控制API | healthcheck | GTS专家服务 | scdn | 安全加速 SCDN |
clouddesktop | 云桌面 | hitsdb | 云原生多模数据库Lindorm | scu | 存储容量单位包 |
cloudera | Cloudera数据平台 | hosting | 云虚拟主机 | sddp | 数据安全中心 |
cloudfw | 云盾云防火墙 | hpc | 高性能计算 HPC | service4mq | 阿里云 RocketMQ 订阅服务 |
cloudphone | 弹性云手机 | iadoris | 交互式分析Doris | anolis | 龙蜥操作系统 |
cloudshell | 云命令行 | ice | 智能媒体服务 | spark | Databricks 数据洞察 |
cms | 云监控 | imarketing | 智能营销引擎 | swas | 轻量应用服务器 |
community | 社区物联网平台 | imm | 智能媒体管理 | swcopyright | 版权与专利服务 |
companyreg | 工商财税 | imp | 低代码音视频工厂 | tearepo | TeaRepo |
console | 控制台 | insoar | 反入侵自动化编排系统 | tianjimon | 集群监控系统 |
csas | 办公安全平台 | iotdm | 设备管理服务 | trademark | 商标服务 |
datahub | 数据总线 DataHub | iotedge | 物联网边缘计算 | vcs | 视觉计算服务 |
datav | DataV数据可视化 | iotid | IoT设备身份认证 | waf | Web应用防火墙 |
ddos | DDoS防护 | iotmarket | 物联网市场标准解决方案 | xtrace | 链路追踪 |
注:列表中的anolis指的是开源操作系统,anolis网站为评级标准4.0中的边缘资产
四、一般资产
贡献值对应表
漏洞等级
严重漏洞
高危漏洞
中危漏洞
低危漏洞
贡献值
60
40
30
10
安全币
600
150
30
10
奖金
6000
1500
300
100
资产及风险列表
产品代码
产品名
产品代码
产品名
产品代码
产品名
aiccs
智能联络中心
ecsyingyongzc
ECS应用支持服务
agilebds
敏捷大数据套件
alidfs
文件存储HDFS版
edas
企业级分布式应用服务
airec
智能推荐 AIRec
alivsc
虚拟存储通道
eventmanonsite
云上护航服务(尊享版)驻场包
apsarabds
飞天大数据套件
aliyundvs
数据语音
eventmgtservice
云上稳定性保障服务
bcc
大数据管家
appmesh
应用网格
gemp
运维事件中心
bigdatacst
大数据专家服务
cams
ChatAPP 消息
grafana
Grafana服务
confluent
Confluent 流处理平台
ccp
内容协作平台
gtsdeliver
GTS-专家服务
opensearch
智能开放搜索 OpenSearch
class
互动课堂
guzhangpc
故障排查
emapreduce
开源大数据平台 E-MapReduce
dbfs
数据库文件存储
huanjingdajian
网站基础环境搭建
emr
E-MapReduce
dfs
文件存储HDFS
impaas
即时通信
rfqa
MAYA智能助手-QA引擎
dycdps
流量服务
intelligents
智能中台体系服务
antibot
爬虫风险管理
dypls
号码隐私保护
jiankangzd
数据库实例健康诊断
bpstudio
云速搭
dypns
号码认证服务
managedservice
技术托管服务
comass
合规评估测试
dytns
号码百科
manages
管理中台体系服务
composer
逻辑编排
hcs_hgw
混合云存储
migration
迁云实施服务
dbaudit
数据库审计
intelligentdispatching
阿里云智能调度软件
migrationcons
迁云咨询服务
dragonwell
Dragonwell
oas
归档存储
oms
GOC高级运维服务
dsi
数据安全险
pcdn
PCDN
prometheus
Prometheus监控服务
fdexchange
金融数据开放开台服务
pds
网盘与相册服务
re
推荐引擎
gameshield
游戏盾
vs
视图计算
servicealw
阿里云中间件专家服务
governance
云治理中心
cloudapp
阿里云 App
serviceasps
应用稳定性专业服务
quotas
配额中心
Internetbank
场景金融链接器
shejizixun
架构设计&上云咨询
sdp
身份定义边界
assettech
云行情
shujukjyuan
数据库在线紧急救援
uem
终端访问控制系统
cd
云投屏
shujukuss
数据库上云方案设计与实施
yundun
云盾基础版
citylink
城市物联网平台
shujukuyhua
数据库优化
antifraud
数据风控
cloudap
云AP
shujuqianyi
网站上云数据迁移
cpdr
阿里云合规文档中心
cloudesl
云价签
strategiccons
云化战略咨询服务
grace
应用问题诊断分析平台
cps
移动推送
supportings
配套服务
mobsec
移动安全
edudslp
数字实践平台
supportplan
支持计划
ASAPaaS
敏捷PaaS管控平台
eduplatform
智慧教育平台
tongque
SRE技术保障平台
cbwp
共享带宽
feedback
移动用户反馈
tsmep
业务中台技术解决方案
cdt
云数据传输
finsmtengine
金融智能引擎
txc
全局事务服务
cgw
云接入网关
hotfix
移动热修复
webx
Web应用托管服务
cmn
云网管
httpdns
HTTPDNS
yingyongbz
7*24应用保障
eip
弹性公网IP
iothardware
物联网硬件
yunguanjia
云管家服务
flowbag
共享流量包
ipc
智能云摄像头
zhuanjiabz
云应用专家保障
ga
全球加速
miniappdev
小程序云
ziyuanguanli
云资源管理基础设置
ipv6gateway
IPv6 网关
miot
零售物联网平台
brainindustrial
工业大脑
ipv6trans
IPv6转换服务
mqc
移动测试
datav
DataV数据可视化
nat
NAT网关
salesforce
Salesforce on Alibaba Cloud
drp
数据资源平台
netana
网络智能服务
vmwaresrv
VMware服务
ettraffic
交通云控平台
privatelink
私网连接
crowdtraffic
云推广
genomics
基因分析平台
smartag
智能接入网关
tianchi
天池
healthcheck
GTS专家服务
uis
云连接器
tianchionline
天池大数据众智
iovcc
智联车管理云平台
vpn
VPN网关
yunxi
云栖大会
rdc
云效
idcservers
数据中心服务器运营
alibababcp
多端电商商城
aas
账号服务
wtc
无影硬件终端
aliyunape
数智气象引擎
account
阿里云账号
adc
策略调度中心
cloudgame
云渲染
account-crm
阿里云账号系统
alimt
机器翻译
codestore
机器人流程自动化
account-label
阿里云标签系统
baas
区块链服务
farmlink
农业物联网平台
ackagility
容器服务ACK敏捷版
cab
智能外呼
linkedmall
Linkedmall企业商城
alicloudbsp
运营支撑平台
ccc
云呼叫中心
premiumpics
图片与设计
aliycontract
阿里云官网合同中心
directmail
邮件推送
xgip
5G互联平台
aliyunid-attribute
阿里云属性系统
holowatcher
全息空间
aliosthings
物联网终端操作系统
alyinvoice
阿里云发票
imagesearch
图像搜索
ASS
GOC稳定性咨询服务
aps
阿里云合作伙伴平台
nlp
自然语言处理
Bulter
中间件运维管控系统
authsys
阿里云操作授权系统
ocr
印刷文字识别
accs
运维服务
bssopenapi
阿里云交易和账单管理API
opt
优化求解器
acp
ACA认证
cdop
零售数智决策平台
robot
服务机器人
adcp
分布式云容器平台
cnip
云原生集成平台
sca
智能对话分析
advisor
智能顾问
connect
聆听
smartaide
智能助手
ahas
应用高可用服务
efcservice
企业财务云
tmallgenie
天猫精灵企业版
apds
云迁移中心
msc
阿里云消息中心
vediobot
智能视频客服
archcons
应用架构咨询服务
rds_oracle
云数据库 RDS Oracle版
viapi
视觉智能开放平台
archopti
应用架构优化服务
renewcenter
续费管理中心
nls
智能语音交互
bigdatacons
大数据应用咨询服务
savingplan
节省计划
cloudphoto
智能云相册
bigdataimpl
大数据应用实施服务
cloudhosting
云托付
snsu
边缘网络加速
cloudercert
Apsara Clouder认证
elastic
弹性Web托管
energyexpert
能源大脑
csb
云服务总线
qcs
量子计算模拟平台
dbes
数据库专家服务
datas
数据中台体系服务
smc
服务器迁移中心
ocs
云数据库 Memcache 版
dbopti
云上数据库优化服务
veno-web6
阿里云IPv6网站升级
vertica
分析型数据库Vertica
devopscons
DevOps咨询服务
dg
数据库网关
AIOps
智能基线产品
devopsimpl
云原生交付服务
hdm
数据库自治服务
rsimganalys
数知地球 AI Earth
discovermask
数据梳理及脱敏系统
ppas
云数据库 PPAS 版
lvwang
内容安全
avatar
虚拟数字人
retailbot
新零售智能助理
sos
安全管家
bizworks
BizWorks
cityvisual
城市视觉智能引擎
outboundbot
智能外呼机器人
beebot
智能对话机器人
说明:其他不在上述描述中的云产品,暂时未确认分级,如有需要可与ASRC管理员联系沟通询问级别。
贡献值对应表
漏洞等级 | 严重漏洞 | 高危漏洞 | 中危漏洞 | 低危漏洞 |
贡献值 | 60 | 40 | 30 | 10 |
安全币 | 600 | 150 | 30 | 10 |
奖金 | 6000 | 1500 | 300 | 100 |
资产及风险列表
产品代码 | 产品名 | 产品代码 | 产品名 | 产品代码 | 产品名 |
aiccs | 智能联络中心 | ecsyingyongzc | ECS应用支持服务 | agilebds | 敏捷大数据套件 |
alidfs | 文件存储HDFS版 | edas | 企业级分布式应用服务 | airec | 智能推荐 AIRec |
alivsc | 虚拟存储通道 | eventmanonsite | 云上护航服务(尊享版)驻场包 | apsarabds | 飞天大数据套件 |
aliyundvs | 数据语音 | eventmgtservice | 云上稳定性保障服务 | bcc | 大数据管家 |
appmesh | 应用网格 | gemp | 运维事件中心 | bigdatacst | 大数据专家服务 |
cams | ChatAPP 消息 | grafana | Grafana服务 | confluent | Confluent 流处理平台 |
ccp | 内容协作平台 | gtsdeliver | GTS-专家服务 | opensearch | 智能开放搜索 OpenSearch |
class | 互动课堂 | guzhangpc | 故障排查 | emapreduce | 开源大数据平台 E-MapReduce |
dbfs | 数据库文件存储 | huanjingdajian | 网站基础环境搭建 | emr | E-MapReduce |
dfs | 文件存储HDFS | impaas | 即时通信 | rfqa | MAYA智能助手-QA引擎 |
dycdps | 流量服务 | intelligents | 智能中台体系服务 | antibot | 爬虫风险管理 |
dypls | 号码隐私保护 | jiankangzd | 数据库实例健康诊断 | bpstudio | 云速搭 |
dypns | 号码认证服务 | managedservice | 技术托管服务 | comass | 合规评估测试 |
dytns | 号码百科 | manages | 管理中台体系服务 | composer | 逻辑编排 |
hcs_hgw | 混合云存储 | migration | 迁云实施服务 | dbaudit | 数据库审计 |
intelligentdispatching | 阿里云智能调度软件 | migrationcons | 迁云咨询服务 | dragonwell | Dragonwell |
oas | 归档存储 | oms | GOC高级运维服务 | dsi | 数据安全险 |
pcdn | PCDN | prometheus | Prometheus监控服务 | fdexchange | 金融数据开放开台服务 |
pds | 网盘与相册服务 | re | 推荐引擎 | gameshield | 游戏盾 |
vs | 视图计算 | servicealw | 阿里云中间件专家服务 | governance | 云治理中心 |
cloudapp | 阿里云 App | serviceasps | 应用稳定性专业服务 | quotas | 配额中心 |
Internetbank | 场景金融链接器 | shejizixun | 架构设计&上云咨询 | sdp | 身份定义边界 |
assettech | 云行情 | shujukjyuan | 数据库在线紧急救援 | uem | 终端访问控制系统 |
cd | 云投屏 | shujukuss | 数据库上云方案设计与实施 | yundun | 云盾基础版 |
citylink | 城市物联网平台 | shujukuyhua | 数据库优化 | antifraud | 数据风控 |
cloudap | 云AP | shujuqianyi | 网站上云数据迁移 | cpdr | 阿里云合规文档中心 |
cloudesl | 云价签 | strategiccons | 云化战略咨询服务 | grace | 应用问题诊断分析平台 |
cps | 移动推送 | supportings | 配套服务 | mobsec | 移动安全 |
edudslp | 数字实践平台 | supportplan | 支持计划 | ASAPaaS | 敏捷PaaS管控平台 |
eduplatform | 智慧教育平台 | tongque | SRE技术保障平台 | cbwp | 共享带宽 |
feedback | 移动用户反馈 | tsmep | 业务中台技术解决方案 | cdt | 云数据传输 |
finsmtengine | 金融智能引擎 | txc | 全局事务服务 | cgw | 云接入网关 |
hotfix | 移动热修复 | webx | Web应用托管服务 | cmn | 云网管 |
httpdns | HTTPDNS | yingyongbz | 7*24应用保障 | eip | 弹性公网IP |
iothardware | 物联网硬件 | yunguanjia | 云管家服务 | flowbag | 共享流量包 |
ipc | 智能云摄像头 | zhuanjiabz | 云应用专家保障 | ga | 全球加速 |
miniappdev | 小程序云 | ziyuanguanli | 云资源管理基础设置 | ipv6gateway | IPv6 网关 |
miot | 零售物联网平台 | brainindustrial | 工业大脑 | ipv6trans | IPv6转换服务 |
mqc | 移动测试 | datav | DataV数据可视化 | nat | NAT网关 |
salesforce | Salesforce on Alibaba Cloud | drp | 数据资源平台 | netana | 网络智能服务 |
vmwaresrv | VMware服务 | ettraffic | 交通云控平台 | privatelink | 私网连接 |
crowdtraffic | 云推广 | genomics | 基因分析平台 | smartag | 智能接入网关 |
tianchi | 天池 | healthcheck | GTS专家服务 | uis | 云连接器 |
tianchionline | 天池大数据众智 | iovcc | 智联车管理云平台 | vpn | VPN网关 |
yunxi | 云栖大会 | rdc | 云效 | idcservers | 数据中心服务器运营 |
alibababcp | 多端电商商城 | aas | 账号服务 | wtc | 无影硬件终端 |
aliyunape | 数智气象引擎 | account | 阿里云账号 | adc | 策略调度中心 |
cloudgame | 云渲染 | account-crm | 阿里云账号系统 | alimt | 机器翻译 |
codestore | 机器人流程自动化 | account-label | 阿里云标签系统 | baas | 区块链服务 |
farmlink | 农业物联网平台 | ackagility | 容器服务ACK敏捷版 | cab | 智能外呼 |
linkedmall | Linkedmall企业商城 | alicloudbsp | 运营支撑平台 | ccc | 云呼叫中心 |
premiumpics | 图片与设计 | aliycontract | 阿里云官网合同中心 | directmail | 邮件推送 |
xgip | 5G互联平台 | aliyunid-attribute | 阿里云属性系统 | holowatcher | 全息空间 |
aliosthings | 物联网终端操作系统 | alyinvoice | 阿里云发票 | imagesearch | 图像搜索 |
ASS | GOC稳定性咨询服务 | aps | 阿里云合作伙伴平台 | nlp | 自然语言处理 |
Bulter | 中间件运维管控系统 | authsys | 阿里云操作授权系统 | ocr | 印刷文字识别 |
accs | 运维服务 | bssopenapi | 阿里云交易和账单管理API | opt | 优化求解器 |
acp | ACA认证 | cdop | 零售数智决策平台 | robot | 服务机器人 |
adcp | 分布式云容器平台 | cnip | 云原生集成平台 | sca | 智能对话分析 |
advisor | 智能顾问 | connect | 聆听 | smartaide | 智能助手 |
ahas | 应用高可用服务 | efcservice | 企业财务云 | tmallgenie | 天猫精灵企业版 |
apds | 云迁移中心 | msc | 阿里云消息中心 | vediobot | 智能视频客服 |
archcons | 应用架构咨询服务 | rds_oracle | 云数据库 RDS Oracle版 | viapi | 视觉智能开放平台 |
archopti | 应用架构优化服务 | renewcenter | 续费管理中心 | nls | 智能语音交互 |
bigdatacons | 大数据应用咨询服务 | savingplan | 节省计划 | cloudphoto | 智能云相册 |
bigdataimpl | 大数据应用实施服务 | cloudhosting | 云托付 | snsu | 边缘网络加速 |
cloudercert | Apsara Clouder认证 | elastic | 弹性Web托管 | energyexpert | 能源大脑 |
csb | 云服务总线 | qcs | 量子计算模拟平台 | dbes | 数据库专家服务 |
datas | 数据中台体系服务 | smc | 服务器迁移中心 | ocs | 云数据库 Memcache 版 |
dbopti | 云上数据库优化服务 | veno-web6 | 阿里云IPv6网站升级 | vertica | 分析型数据库Vertica |
devopscons | DevOps咨询服务 | dg | 数据库网关 | AIOps | 智能基线产品 |
devopsimpl | 云原生交付服务 | hdm | 数据库自治服务 | rsimganalys | 数知地球 AI Earth |
discovermask | 数据梳理及脱敏系统 | ppas | 云数据库 PPAS 版 | lvwang | 内容安全 |
avatar | 虚拟数字人 | retailbot | 新零售智能助理 | sos | 安全管家 |
bizworks | BizWorks | cityvisual | 城市视觉智能引擎 | outboundbot | 智能外呼机器人 |
beebot | 智能对话机器人 |
说明:其他不在上述描述中的云产品,暂时未确认分级,如有需要可与ASRC管理员联系沟通询问级别。
五、漏洞等级
根据漏洞的危害程度将漏洞等级分为【严重】、【高】、【中】、【低】、【无】五个等级。 由ASRC结合利用场景中漏洞的严重程度、利用难度等综合因素给予相应分值的贡献值和漏洞定级,每种等级包含的评分标准及漏洞类型如下:
【 严重 】
本等级包括:
1、业务类:黑产在利用能实际造成海量资损的漏洞,或能直接刷钱的漏洞,不包含拉新活动、云资源的后付费使用、部分无法实际套现的优惠券等。
2、服务端类:获取任意一台核心网络的服务器的权限,或能直接下线应用。
3、网络类:攻击网络或网络设备造成控制或瘫痪系统,使得阿里云关键业务功能不可用/被监听。
4、数据查询类:通过注入或接口泄漏等方式进行核心账号体系敏感信息多元组任意查询,或获取海量重要敏感信息多元组。
5、数据修改类:海量用户身份信息等业务核心功能核心数据的无遍历限制修改、查询。
6、数据存储类:核心敏感业务数据对象存储篡改,如能造成供应链攻击,或业务面临重大风险。
7、信息伪造类:交易及聊天软件场景的批量任意伪造身份并发送任意内容信息。
8、未授权访问类:通过未授权访问后台等方式获得海量服务器的控制权限,且包含业务敏感信息。
9、设计缺陷类:主账号体系的任意账号登录,或主账号体系任意撞库且证明能直接登录的问题;直接能修改业务www首页关键位置信息。
10、APP/客户端类:邮箱和聊天APP/端的远程无条件RCE。
11、云安全类:利用普通用户的ECS、沙箱、docker等权限,提升到宿主机/集群的权限,或利用普通的数据库权限提升获取到实例其中其他用户数据库内容的权限。
【 高 】
本等级包括:
1、业务类:黑产已经在利用能实际造成大量资损或潜在可造成海量资损的漏洞,不包含拉新、云资源的后付费使用、部分无法实际套现的优惠券等。
2、服务端类:
1)获取任意生产应用云上业务的服务器权限;
2)可读取到服务器上敏感文件或能进一步利用;
3)可通过如心脏滴血等类似漏洞随机获取到主账号体系的敏感信息且证明可以利用信息进行账号登录或其他敏感操作;
4)可通过简单手段造成重要业务核心功能DOS;
5)其他可造成进一步扩大攻击的服务端类问题。
3、网络类:网络层HTTP/Socks/TCP代理可进核心网络,或可达核心网络并可完全回显或通过图片等形式回显的SSRF。
4、数据查询类:通过注入或接口泄漏等方式可获取大量敏感信息多元组的,如核心功能核心数据的SQL注入。
5、数据修改类:大量用户身份信息等业务核心功能核心数据的无遍历限制修改、查询。
6、数据存储类:能控制重要数据的存储设备,增删改查大量敏感信息。
7、设计缺陷类:非业务主账号体系的任意密码重置、任意账号登录问题,直接能修改业务子站首页关键位置信息。
8、未授权访问类:通过未授权访问后台等方式获得大量服务器的控制权限,且包含业务敏感信息。
9、前端类:核心功能处可影响所有用户的无交互存储XSS,如阿里云产品详情主页;蠕虫、水坑攻击;影响客服、管理员并可获取到敏感数据或可登录相应管理平台的XSS。
10、APP/客户端类:通过扫码、访问URL等形式造成的远程RCE,通过反编译、解密等进一步造成实际利用的问题。
11、其他可造成重要危害的问题。
【 中 】
本等级包括:
1、业务类:主营业务收费功能的大金额少量次数或小金额大量次数刷取;或非主营业务收费功能绕过付费,如业务上第三方应用多次免费使用、媒体资源绕过绕过付费等。
2、服务端类:
1)服务端配置文件、备份文件泄露、非核心业务数据库SQL注入、少量敏感数据或无重要敏感数据的SQL注入等普通敏感信息泄漏但无法进一步利用;
2)任意文件读取或操作部分非敏感文件或无法进一步利用的;
3)心脏滴血获取到部分敏感信息但无法进一步利用;
4)造成非核心应用DOS;
5)其他有一定危害的服务端类问题。
3、策略绕过类:手机安全锁绕过,二次验证绕过,加密算法破解获取敏感信息。
4、数据查询类:通过注入及接口泄漏等方式可获取少量敏感信息或大量非敏感信息的。
5、数据修改类:少量会员认证身份、订单、服务器、ECS、资金等核心资产核心信息及不涉及上述信息的修改等。
6、数据存储类:能控制一般应用的存储,增删改查部分业务信息等。
7、未授权访问类:通过未授权访问后台含少量敏感信息。
8、账号类:撞库类问题能爆破出数据但无法继续利用的;需要较高利用条件的核心账号体系的任意账号登录,如6位验证码爆破;用户量很少的业务自建账号体系的任意账号登录。
9、前端类:未在高危级别中定义的其他存储XSS,如论坛帖子页面、分享页面等;客户端XSS;无自然流量页面存储XSS;反射XSS;CSRF进行敏感操作;Jsonp劫持敏感信息;CORS劫持敏感信息。
10、APP/客户端类:本地命令执行。
【 低 】
本等级包括:
1、轻微信息泄漏。包括但不仅限于PHPinfo、有少量敏感信息的SVN信息泄漏,以及客户端应用本地SQL注入(仅泄漏数据库名称、字段名、cache内容)、日志打印、配置信息等。
2、需要交互、危害不大或利用较复杂的漏洞。包括但不限于管理功能垂直越权、Post XSS、Postmessage XSS、只影响同一组织内的存储XSS、非重要功能的CSRF操作、需要预测参数的XSS|CSRF等漏洞。
3、轻微的设计缺陷漏洞,如对单个手机的无限短信轰炸漏洞、URL跳转漏洞、页面包含、CRLF、HTML注入。
4、不涉及业务核心功能数据或少量非重要敏感信息的增删改查等越权问题。
【 无 】
0贡献值,0安全币,本等级包括:
1、不涉及安全问题的 Bug。包括但不仅限于产品功能缺陷、异常信息泄露、网页乱码、样式混乱、静态文件目录遍历、应用兼容性等问题。
2、无法直接利用的漏洞。包括但不仅限于路径信息泄漏、Self-XSS、无敏感操作的 CSRF、无意义的异常信息泄漏、内网 IP 地址/域名泄漏、管理后台泄漏、example等默认demo未删除、无敏感信息的SVN信息泄漏、只有固定版本的小众浏览器才能触发的xss、邮件轰炸、轮循多个手机的短信轰炸等。
3、不能直接反映漏洞存在的其他问题。包括但不仅限于纯属用户猜测的问题。
根据漏洞的危害程度将漏洞等级分为【严重】、【高】、【中】、【低】、【无】五个等级。 由ASRC结合利用场景中漏洞的严重程度、利用难度等综合因素给予相应分值的贡献值和漏洞定级,每种等级包含的评分标准及漏洞类型如下:
【 严重 】
本等级包括:
1、业务类:黑产在利用能实际造成海量资损的漏洞,或能直接刷钱的漏洞,不包含拉新活动、云资源的后付费使用、部分无法实际套现的优惠券等。
2、服务端类:获取任意一台核心网络的服务器的权限,或能直接下线应用。
3、网络类:攻击网络或网络设备造成控制或瘫痪系统,使得阿里云关键业务功能不可用/被监听。
4、数据查询类:通过注入或接口泄漏等方式进行核心账号体系敏感信息多元组任意查询,或获取海量重要敏感信息多元组。
5、数据修改类:海量用户身份信息等业务核心功能核心数据的无遍历限制修改、查询。
6、数据存储类:核心敏感业务数据对象存储篡改,如能造成供应链攻击,或业务面临重大风险。
7、信息伪造类:交易及聊天软件场景的批量任意伪造身份并发送任意内容信息。
8、未授权访问类:通过未授权访问后台等方式获得海量服务器的控制权限,且包含业务敏感信息。
9、设计缺陷类:主账号体系的任意账号登录,或主账号体系任意撞库且证明能直接登录的问题;直接能修改业务www首页关键位置信息。
10、APP/客户端类:邮箱和聊天APP/端的远程无条件RCE。
11、云安全类:利用普通用户的ECS、沙箱、docker等权限,提升到宿主机/集群的权限,或利用普通的数据库权限提升获取到实例其中其他用户数据库内容的权限。
【 高 】
本等级包括:
1、业务类:黑产已经在利用能实际造成大量资损或潜在可造成海量资损的漏洞,不包含拉新、云资源的后付费使用、部分无法实际套现的优惠券等。
2、服务端类:
1)获取任意生产应用云上业务的服务器权限;
2)可读取到服务器上敏感文件或能进一步利用;
3)可通过如心脏滴血等类似漏洞随机获取到主账号体系的敏感信息且证明可以利用信息进行账号登录或其他敏感操作;
4)可通过简单手段造成重要业务核心功能DOS;
5)其他可造成进一步扩大攻击的服务端类问题。
3、网络类:网络层HTTP/Socks/TCP代理可进核心网络,或可达核心网络并可完全回显或通过图片等形式回显的SSRF。
4、数据查询类:通过注入或接口泄漏等方式可获取大量敏感信息多元组的,如核心功能核心数据的SQL注入。
5、数据修改类:大量用户身份信息等业务核心功能核心数据的无遍历限制修改、查询。
6、数据存储类:能控制重要数据的存储设备,增删改查大量敏感信息。
7、设计缺陷类:非业务主账号体系的任意密码重置、任意账号登录问题,直接能修改业务子站首页关键位置信息。
8、未授权访问类:通过未授权访问后台等方式获得大量服务器的控制权限,且包含业务敏感信息。
9、前端类:核心功能处可影响所有用户的无交互存储XSS,如阿里云产品详情主页;蠕虫、水坑攻击;影响客服、管理员并可获取到敏感数据或可登录相应管理平台的XSS。
10、APP/客户端类:通过扫码、访问URL等形式造成的远程RCE,通过反编译、解密等进一步造成实际利用的问题。
11、其他可造成重要危害的问题。
【 中 】
本等级包括:
1、业务类:主营业务收费功能的大金额少量次数或小金额大量次数刷取;或非主营业务收费功能绕过付费,如业务上第三方应用多次免费使用、媒体资源绕过绕过付费等。
2、服务端类:
1)服务端配置文件、备份文件泄露、非核心业务数据库SQL注入、少量敏感数据或无重要敏感数据的SQL注入等普通敏感信息泄漏但无法进一步利用;
2)任意文件读取或操作部分非敏感文件或无法进一步利用的;
3)心脏滴血获取到部分敏感信息但无法进一步利用;
4)造成非核心应用DOS;
5)其他有一定危害的服务端类问题。
3、策略绕过类:手机安全锁绕过,二次验证绕过,加密算法破解获取敏感信息。
4、数据查询类:通过注入及接口泄漏等方式可获取少量敏感信息或大量非敏感信息的。
5、数据修改类:少量会员认证身份、订单、服务器、ECS、资金等核心资产核心信息及不涉及上述信息的修改等。
6、数据存储类:能控制一般应用的存储,增删改查部分业务信息等。
7、未授权访问类:通过未授权访问后台含少量敏感信息。
8、账号类:撞库类问题能爆破出数据但无法继续利用的;需要较高利用条件的核心账号体系的任意账号登录,如6位验证码爆破;用户量很少的业务自建账号体系的任意账号登录。
9、前端类:未在高危级别中定义的其他存储XSS,如论坛帖子页面、分享页面等;客户端XSS;无自然流量页面存储XSS;反射XSS;CSRF进行敏感操作;Jsonp劫持敏感信息;CORS劫持敏感信息。
10、APP/客户端类:本地命令执行。
【 低 】
本等级包括:
1、轻微信息泄漏。包括但不仅限于PHPinfo、有少量敏感信息的SVN信息泄漏,以及客户端应用本地SQL注入(仅泄漏数据库名称、字段名、cache内容)、日志打印、配置信息等。
2、需要交互、危害不大或利用较复杂的漏洞。包括但不限于管理功能垂直越权、Post XSS、Postmessage XSS、只影响同一组织内的存储XSS、非重要功能的CSRF操作、需要预测参数的XSS|CSRF等漏洞。
3、轻微的设计缺陷漏洞,如对单个手机的无限短信轰炸漏洞、URL跳转漏洞、页面包含、CRLF、HTML注入。
4、不涉及业务核心功能数据或少量非重要敏感信息的增删改查等越权问题。
【 无 】
0贡献值,0安全币,本等级包括:
1、不涉及安全问题的 Bug。包括但不仅限于产品功能缺陷、异常信息泄露、网页乱码、样式混乱、静态文件目录遍历、应用兼容性等问题。
2、无法直接利用的漏洞。包括但不仅限于路径信息泄漏、Self-XSS、无敏感操作的 CSRF、无意义的异常信息泄漏、内网 IP 地址/域名泄漏、管理后台泄漏、example等默认demo未删除、无敏感信息的SVN信息泄漏、只有固定版本的小众浏览器才能触发的xss、邮件轰炸、轮循多个手机的短信轰炸等。
3、不能直接反映漏洞存在的其他问题。包括但不仅限于纯属用户猜测的问题。
六、漏洞处理一般策略
1.同一应用下大量存在的同一类型漏洞:按正常等级确认前3个;若漏洞都由同一问题点导致的,修复一个漏洞其他也都会被自动修复时,只确认第1个漏洞,如同一过滤函数导致的XSS绕过、框架层漏洞等;
2.同一功能的越权增删改查,只确认1个;相似功能或接口的同一类型漏洞,比如getDetail和getList按第1条规则确认;
3.同一应用下的同一数据库的SQL注入,确认前3个,其中第1个正常确认,后2个降一级确认;
4.0Day类漏洞按实际影响的业务确认,最多确认前3个;无实际影响案例的,不关注;
5.同一组件导致的多个业务问题,确认前3个,比如同一个二方SDK导致的多个APP漏洞;若是同一漏洞源导致的问题,修复一个漏洞其他也都会被自动修复时,只确认第1个漏洞。
6.内部已知的Web漏洞,仍在漏洞处理时效内的,对外按重复驳回;严重超出处理时效的,对外正常确认(已申请不修复,或确认短期内不修复的除外);
7.内部已知的APP、端上漏洞,对外按重复驳回;
8.外部上报后严重超期未处理的Web漏洞及严重超期的APP类漏洞,对外正常确认(已申请不修复,或确认短期内不修复的除外);
9.内部安全工具检测到白帽子的漏洞,在一个工作日内上报的,对外正常确认;超出一个工作日上报的,按重复驳回;
10.通过社会工程学(主要是非xss盲打类的钓鱼)获取重要账号登录系统等利用方式,不在收集范围内。
11.云产品中非阿里云域名产生的漏洞,不会按照云产品的奖励规则计算,而会按照实际影响业务的分数逻辑计算。
1.同一应用下大量存在的同一类型漏洞:按正常等级确认前3个;若漏洞都由同一问题点导致的,修复一个漏洞其他也都会被自动修复时,只确认第1个漏洞,如同一过滤函数导致的XSS绕过、框架层漏洞等;
2.同一功能的越权增删改查,只确认1个;相似功能或接口的同一类型漏洞,比如getDetail和getList按第1条规则确认;
3.同一应用下的同一数据库的SQL注入,确认前3个,其中第1个正常确认,后2个降一级确认;
4.0Day类漏洞按实际影响的业务确认,最多确认前3个;无实际影响案例的,不关注;
5.同一组件导致的多个业务问题,确认前3个,比如同一个二方SDK导致的多个APP漏洞;若是同一漏洞源导致的问题,修复一个漏洞其他也都会被自动修复时,只确认第1个漏洞。
6.内部已知的Web漏洞,仍在漏洞处理时效内的,对外按重复驳回;严重超出处理时效的,对外正常确认(已申请不修复,或确认短期内不修复的除外);
7.内部已知的APP、端上漏洞,对外按重复驳回;
8.外部上报后严重超期未处理的Web漏洞及严重超期的APP类漏洞,对外正常确认(已申请不修复,或确认短期内不修复的除外);
9.内部安全工具检测到白帽子的漏洞,在一个工作日内上报的,对外正常确认;超出一个工作日上报的,按重复驳回;
10.通过社会工程学(主要是非xss盲打类的钓鱼)获取重要账号登录系统等利用方式,不在收集范围内。
11.云产品中非阿里云域名产生的漏洞,不会按照云产品的奖励规则计算,而会按照实际影响业务的分数逻辑计算。
七、漏洞降级、无效、重复场景
1.需要用户交互才能利用的漏洞,除CSRF、反射XSS、Jsonp劫持等本身就需要交互的前端漏洞外,其他漏洞若需要受害者进行一定动作存在交互成本,如访问攻击者提供的链接、点击页面内容、按键等,降级确认;
2.有一定限制的利用,如任意重置密码需在一定时间内爆破六位验证码、仅在特定环境触发有依赖组件,降级确认;
3.影响用户量或数据量非常小,比如新上线系统只有少量有效用户、旧系统只有少量有效数据等,降级确认;
4.部分环节与其他漏洞重复的利用,降级确认;全部重复的,按重复驳回;
5.URL跳转类需要登录或需要注册固定域名来跳转的,降级确认;
6.利用环节较为复杂,多个漏洞无法组合成简单利用,或是需要结合爆破等问题,需要一定的时间或人力成本的,降级确认;
7.未提供成功案例,只是说明理论可行的,漏洞无效;仅提供漏洞利用结果,未提供漏洞POC的,漏洞无效;
8.只有非Chrome下才能触发的XSS、JSONP等前端漏洞最高为低危;
9.未运行有实际业务的服务器不在关注范围,如云上测试机器的RCE等;影响的数据为测试数据时,漏洞无效;
10.为用户提供服务的子域名下的前端漏洞、部分服务端漏洞不在关注范围,如aliyuncs.com、aliyunpds.com、aliyunidaas.com等。
本标准自2022年11月15日00:00生效,其他未尽事宜,请参考《ASRC漏洞情报评级总则4.0》。
1.需要用户交互才能利用的漏洞,除CSRF、反射XSS、Jsonp劫持等本身就需要交互的前端漏洞外,其他漏洞若需要受害者进行一定动作存在交互成本,如访问攻击者提供的链接、点击页面内容、按键等,降级确认;
2.有一定限制的利用,如任意重置密码需在一定时间内爆破六位验证码、仅在特定环境触发有依赖组件,降级确认;
3.影响用户量或数据量非常小,比如新上线系统只有少量有效用户、旧系统只有少量有效数据等,降级确认;
4.部分环节与其他漏洞重复的利用,降级确认;全部重复的,按重复驳回;
5.URL跳转类需要登录或需要注册固定域名来跳转的,降级确认;
6.利用环节较为复杂,多个漏洞无法组合成简单利用,或是需要结合爆破等问题,需要一定的时间或人力成本的,降级确认;
7.未提供成功案例,只是说明理论可行的,漏洞无效;仅提供漏洞利用结果,未提供漏洞POC的,漏洞无效;
8.只有非Chrome下才能触发的XSS、JSONP等前端漏洞最高为低危;
9.未运行有实际业务的服务器不在关注范围,如云上测试机器的RCE等;影响的数据为测试数据时,漏洞无效;
10.为用户提供服务的子域名下的前端漏洞、部分服务端漏洞不在关注范围,如aliyuncs.com、aliyunpds.com、aliyunidaas.com等。
本标准自2022年11月15日00:00生效,其他未尽事宜,请参考《ASRC漏洞情报评级总则4.0》。
-
阿里云200M轻量应用服务器翻车!真实情况竟然是共享1Gbps带宽存在超限情况
本周阿里云推出的新款 200Mbps 峰值带宽轻量应用服务器吸引大量关注,包括蓝点网都在 0 点蹲点抢购了香港区域的 200M 轻量应用服务器。根据蓝点网的测试这台机器在网络高峰期 (例如午后) 时带
-
阿里通义千问获赔经济损失及公开道歉 国内大模型打假胜诉第一案!
国内大模型打假维权出现首例胜诉判决。阿里云、阿里巴巴诉山寨通义千问APP发布方一审胜诉,飞游科技公司因侵犯注册商标及虚假宣传,被责令赔偿相关经济损失及维权费用,并于官网连续十五日发布道歉声明。阿里云微
一对一解决您的法律问题,
已提供49958次咨询
- 张纪中称将倾尽一切守护家06-06
- 亲子鉴定要多少钱的费用06-03
- 离婚手续办理流程有什么06-03
- 离婚起诉立案后的流程怎么走06-03
- 离婚二个人都同意离婚当天就给证吗06-03
- 二个人都同意离婚当天就给证吗06-03
- 律师回应女子为4只宠物狗立遗嘱 专款专用引发热议06-03
- 哪里可以咨询婚姻问题?06-03
- 哪里可以咨询关于婚姻的问题?06-03
- 民政局怎么咨询婚姻问题?06-03
- 郑中基与余思敏终离婚?现身法庭闭门聆讯,身形暴瘦五字回应04-20
- 检察机关披露:万某某拐卖46名外籍女子入境,贩卖获利133万元04-17