安全漏洞的严重程度如何界定?这个问题看似简单,实际上涉及到安全团队的资源分配、修复优先级、甚至是否需要紧急响应。
不同公司有不同的分级标准,但核心逻辑是一致的:评估漏洞被利用后的影响范围和利用难度。本文整理了业界通用的三级分类标准,帮助开发者快速判断漏洞的紧急程度。
分级的核心逻辑
漏洞分级本质上是在回答一个问题:如果这个漏洞被攻击者利用,最坏的情况是什么?
评估维度包括:
- 影响范围:单个用户、部分用户、还是全部用户?
- 数据敏感度:普通信息、用户隐私、还是核心业务数据?
- 利用难度:需要用户交互、还是可以远程直接利用?
- 权限提升:能否获取系统权限、管理员权限?
高危漏洞
高危漏洞的特征是:攻击者可以直接获取系统控制权,或者造成大规模数据泄露。这类漏洞需要立即修复,通常要求 24 小时内响应。
典型场景
远程代码执行(RCE):攻击者可以在服务器上执行任意命令。这是最严重的漏洞类型,一旦被利用,服务器完全失控。
SQL 注入获取系统权限:不仅能读取数据,还能通过数据库特性执行系统命令或写入文件。
任意文件上传获取 Webshell:攻击者上传恶意脚本,获得服务器的持久控制权。
核心业务数据泄露:用户密码、支付信息、身份证号等敏感数据被批量获取。
认证绕过:无需登录即可访问管理后台,或者通过弱密码直接进入核心系统。
批量账号操作:可以批量修改任意用户密码、批量删除用户数据等。
存储型 XSS(自动传播):恶意脚本存储在服务器,所有访问该页面的用户都会被攻击,且可能自动传播。
中危漏洞
中危漏洞的特征是:需要用户交互才能利用,或者影响范围有限。这类漏洞需要在版本迭代中修复,通常要求一周内处理。
典型场景
普通存储型 XSS:恶意脚本存储在服务器,但不会自动传播,影响范围可控。
核心业务的 CSRF:攻击者诱导用户点击链接,以用户身份执行敏感操作(如转账、修改密码)。
普通越权:用户 A 可以查看或修改用户 B 的非敏感信息。
短信轰炸:验证码接口没有频率限制,可以被滥用发送大量短信。
任意注册:可以使用任意手机号或邮箱注册账号,绕过验证流程。
低危漏洞
低危漏洞的特征是:危害有限,利用条件苛刻,或者只影响本地环境。这类漏洞可以在常规安全维护中处理。
典型场景
反射型 XSS:恶意脚本不存储在服务器,需要诱导用户点击特定链接才能触发。
普通 CSRF:影响的是非敏感操作,如修改昵称、头像等。
URL 跳转漏洞:可以构造链接跳转到钓鱼网站,但需要用户主动点击。
路径遍历:可以读取服务器上的部分文件,但无法获取敏感配置或执行代码。
客户端本地问题:如 App 本地存储明文密码、本地拒绝服务等,需要物理接触设备才能利用。
信息泄露(低敏感度):如服务器版本号、框架版本等,可能为后续攻击提供信息,但本身危害有限。
快速判断流程
遇到漏洞时,按以下顺序判断:
- 能否远程执行代码或命令? 是 → 高危
- 能否获取大量敏感数据? 是 → 高危
- 能否绕过认证进入核心系统? 是 → 高危
- 需要用户交互才能利用? 是 → 中危或低危
- 只影响本地或单个用户? 是 → 低危
总结
漏洞分级的目的是合理分配安全资源。高危漏洞需要立即响应,中危漏洞需要计划修复,低危漏洞可以常规处理。
几点提醒:
- 分级标准因业务而异,金融系统的中危可能是普通系统的高危
- 漏洞的实际危害取决于业务上下文,同样的 SQL 注入在测试环境和生产环境危害完全不同
- 不要忽视低危漏洞的组合利用,多个低危漏洞串联可能造成高危影响