Level(危害等级)
漏洞等级定义建议按照漏洞最大危害来确定。
| 等级 | 分值 | 描述 |
|---|---|---|
| 严重 | 9-10 | 1.可获取服务器权限; 2.严重信息泄露; |
| 高危 | 6-8 | 1.敏感信息泄露; 2.越权; 3.任意文件读取; 4.SQL注入; 5.git/svn泄露; 6.SSRF; |
| 中危 | 3-5 | 1.XSS; 2.URL跳转; 3.CRLF; 4.LFI; |
| 低危 | 1-2 | 1.CSRF; 2.JSONP劫持; 3.异常堆栈信息; 3.PHPINFO; 4.路径泄露; 5.硬编码密码; 6.硬编码内网IP域名; 7.不安全的加密方法; 8.不安全的随机数; 9.日志敏感记录; |
下一章:程序目录结构