CNVD漏洞审核类型尺度参考标准

一、漏洞信息完整性

        1、对于通用软硬件漏洞，如受影响目标和系统暴露在互联网上上，需提供互联网实例（至少三个）；对于无法提供互联网实例的代码审计类或内部测试环境（如：工业控制系统、物联网设备），至少要提供本地实例证明；

        2、对于通用软硬件漏洞或事件型漏洞，一般都需要有过程截图证明。

二、漏洞信息原创性

        1、CNVD会根据作者提交的漏洞信息于库里类似的漏洞对比去重（包括WOOYUN平台、补天平台、漏洞盒子及网络上已经发布的情况）。

        2、对于已报给原厂商或取得CVE编号 等，后续再报给CNVD的漏洞：对于一些系统级或应用广泛的能提供验证代码的，且能证明贡献者是作者的按原创收录、归档，积分奖励照常给。如果只是提供描述信息，只作收录，不给积分和证书。

三、漏洞类型审核参考

1、需要后台用户认证权限的漏洞

        1）反射型XSS：未实现权限跨越且危害较低，不收录；

        2）存储型XSS：获取相同权限的不收，不同域的权限可以收录，如：网站普通用户权限能打到管理员权限；

        3）收录评判原则：对于实现权限跨越的漏洞要收录，例如后台用户权限到数据库权限、服务器主机权限。

        4）评分原则：后台登录和前台登录都是属于一次认证，区别是利用难度：高与低。

2、邮件伪造漏洞风险

        邮件伪造只是服务器校验方面的配置风险，不直接对信息系统的机密性、可用性、完整性的范畴造成威胁，无法进行CVSS评级评分，不再收录。

3、URL跳转(重定向)、事件型SSRF、IIS短文件名泄露等风险

        不收录：暂不直接对信息系统的机密性、可用性、完整性产生影响，CNVD不进行收录和处置。（唯一例外：部委级的SSRF可收录）。

4、目录遍历、源码下载、文件泄露等普通信息泄露风险

        1）未涉及重要信息的不收录，包括测试文件泄露、备份文件泄露、示例文件泄露。如Tomcat examples目录下的JSP、Servlet示例文件泄露、日志文件泄露、SQL文件泄露等不涉及重要的信息泄露不收录。

        2）备份文件下载，需要包括网站整体打包数据才进行确认或包括重要数据信息备份文件（SQL文件、服务器配置文件或data文件等）才收录；

        3）一般测试文件、网站普通bak文件、目录为空或仅存少量的SVN泄露驳回；

5、SQL注入漏洞风险

        1)以获得数据库实例名(ACCESS除外)以及手工注入情况下可以获得字段信息（如：数据库版本，当前用户等）为准。

        2)SQL注入至少要证明到数据库实例，对于ACCESS数据库不需要证明到实例； 

        3)同一个网站的多个SQL注入点可合并为一个（额外加分）；

        4)CMS类产品注入风险点对于不同页面的不同参数值可算多个，对于同时批量提交的多个，可按全站SQL注入的情况合并为一个漏洞收录。

6、反射型XSS漏洞风险

        1)事件型：暂不直接对信息系统的机密性、可用性、完整性产生影响，CNVD不进行收录和处置

        2)通用型：通用软件，同一个产品多个漏洞，CNVD会合并收录成一个：xxx存在多处xss（额外加分），其他的驳回。

7、存储型XSS漏洞风险

        1）事件型：前台要能够打到管理员或其他用户cookie，或可以弹窗等；后台普通权限打到高级权限的可收录。

        2）通用型：收录。

8、篡改、后门、暗链等威胁事件

        篡改、后门暗链等事件以及这类不属于技术漏洞的，不属于漏洞风险，CNVD不收录，不过根据影响的目标，对于中央部委和重要行业单位，可列入处置流程。

9、HTTP.sys远程代码执行漏洞风险

        不收录，http.sys的驳回理由：整数型溢出只是有可能导致远程代码执行，暂不构成直接威胁。

10、域传送漏洞风险

        只对极为重要的政府和重要行业单位收录和处置，如：DNS域传送对于部委级政府（自建权威服务器）以及重要行业单位集团公司总部（如：电力集团）。

11、暴力破解漏洞风险

        对于HTTP暴力破解的，需提供破解成功登陆的截图，否则驳回；对于未破解成功的不单独收录或处置该类风险。

12、编辑器类漏洞风险

        需要有实际完整性（可删除网站在线实体文件或上传可解析后门）、机密性证明的可收录。对于只是一般编辑器文件功能遗留不构成实际威胁的不收录不处置。

13、扫描器漏洞结果

        对基扫描器的banner判断结果，无可见威胁或验证POC的驳回，不收录。

14、SNMP默认团体风险

        设备宣告，如果是公开161的接口，public的没影响，则不收录。

15、未授权访问类漏洞风险

        注意区分未授权访问风险中，首先要所述资源是否为公开资源，如一些本来就应该公开查询的信息，则不收录。

16、通用型上传漏洞风险

        1）对于黑盒碰撞（如挖到一个站点的漏洞，然后搜索引擎匹配的），需后台管理权限的，不收录。

        2）对于代码审计且有详细的过程的上传，无论是否需要管理权限，均收录。

        3）对于前台用户注册且存在上传的，收录

        4）对于无需登录直接上传的，收录。

17、nginx 空字节(%00)代码执行、nginx文件类型错误解析漏洞风险

        1）该漏洞本身未直接对系统机密性、可用性、完整性造成影响，需要在有文件上传的站点中才能利用成功，不单独收录。

        2）如果没有提供上传的可以被解析的脚本文件，则驳回。

18、信息滥用类风险

        本身并不对系统机密性可用性完整性构成威胁，如：有一些运营商的系统，用手机号直接恶意注册等的，不收录。

19、FTP空口令、弱口令等风险

        如果是匿名的则根据实际影响情况进行判断是否收录，评分参考：机密性：部分

20、业务逻辑漏洞风险

        根据实际影响情况，判断是否收录。主要判断依据是，是否越权、是否有可能造成经济损失（如：刷单）、是否有可能造成业务逻辑混乱。

21、配置类漏洞风险

        配置类风险评定：因部署风险导致的疑似通用产品漏洞按事件型收录，不作为衍生通用软硬件漏洞收录。如：LAMP环境下的同一厂商集成环境大面积tomcat弱口令；TRS的通用政府网站任意文件下载（配置问题）。

22、中间人攻击（证书未校验、密码明文传输等）

        APP类的漏洞可收录（参考CNVD-2016-01908、CNVD-2016-04381），其他的根据实际情况研判。

23、移动APP类漏洞风险

        1）对于已公开的Android接口漏洞（如：webview漏洞）影响到APP本身的，不再收录。

        2）对于调用Android本身但又与移动APP本身实现相关的衍生漏洞，收录。

        3）移动APP逻辑漏洞、私有接口泄露导致信息泄露、SQL注入的，收录。

24、二进制、工控类以及设备类漏洞风险

        1）至少提供可复现的部分拒绝服务（即程序crash）

        2）一般有很多是fuzz方法挖掘的，需要提供样本及POC，最好能提供演示视频。

        3）一些工控漏洞,没有截图,但有发送的畸型数据包的可收录。

        4）传附件为word文档的，需要补充协议类漏洞畸型数据抓包文件、二进制DLL文件。

25、不具备验证条件或未确认漏洞具体危害的情况

        对于此类漏洞，CNVD起到预评审作用，CNVD与厂商名建立了良好的协作渠道，需要等待官方的确认，后续CNVD也鼓励对应单位公司也会对白帽子的工作给予认可。对于厂商未能反馈的，按《CNVD原创漏洞审核和处理流程》由CNVD进行研判归档。