第三方软件测评漏洞等级判定标准
第三方软件测评采用 CVSS 3.1(通用漏洞评分系统)作为核心判定依据,结合漏洞对系统机密性(C)、完整性(I)、可用性(A)的影响程度,将 SQL 注入与 XSS 漏洞划分为 4 个等级,各等级对应明确评分范围与风险特征:
漏洞等级 |
CVSS 评分 |
风险特征 |
高危 |
9.0-10.0 |
可直接突破系统防护,导致越权访问、数据泄露(如用户密码、核心业务数据)或系统瘫痪 |
中危 |
6.0-8.9 |
需特定条件触发,可能造成局部数据篡改或功能异常,无整体系统风险 |
低危 |
3.0-5.9 |
仅能获取非敏感信息(如公开公告)或触发轻微界面异常,无实际危害 |
无风险 |
0.0-2.9 |
漏洞无法被利用,或现有防护措施可完全拦截(如前端过滤、后端校验双重生效) |
漏洞等级判定实例
第三方软件测评针对某OA 系统 3 个核心接口的 SQL 注入测试结果如下:
1.后台用户查询接口(高危,CVSS 9.6):输入参数 “user_id=1' union select username,password from admin --”,系统直接返回管理员账号列表(含加密前密码),可直接窃取核心权限数据,符合高危漏洞特征。
2.考勤记录导出接口(中危,CVSS 7.2):输入 “dept_id=3' and (select count (*) from dept) >10 --”,系统返回 “true”,可推断部门表数据量,但无法获取具体信息,需结合其他漏洞才能利用,判定为中危。
3.公告列表接口(低危,CVSS 4.5):输入 “page=1' or 1=2 --”,系统返回空列表,无数据泄露或功能异常,仅存在注入语法响应,判定为低危。
漏洞分级处理方式:
1.高危漏洞处理:要求 72 小时内完成修复,采用参数化查询(PreparedStatement)替代字符串拼接,禁止直接将用户输入嵌入 SQL 语句;同时配置数据库账号最小权限,后台应用账号仅授予 “SELECT/UPDATE” 权限,禁止 “DROP/ALTER” 操作。修复后需经第三方软件测评复测,注入恶意语句需返回 “输入非法”,且无任何敏感数据泄露。
2.中危漏洞处理:1 周内完成输入校验,对用户输入的参数进行类型限制(如 “dept_id” 仅允许数字),不符合规则直接拦截请求;第三方软件测评复测时,需验证注入语句无法触发任何数据库响应。
3.低危漏洞处理:纳入常规迭代优化,保留现有前端输入过滤规则,每季度通过第三方软件测评的自动化扫描工具(OWASP ZAP 2.14)复查,确认无漏洞升级风险。