By name: severity-rating description: "Vulnerability severity rating framework with CVSS-based 4-tier system, 3-dimensional assessment model, decision tree, and attack chain impact rules."
Severity Rating Framework
漏洞严重度评级框架 — 等级定义、三维评估模型、判定决策树、编号体系
等级定义
| 级别 | CVSS 3.1 | 标准 | 示例 |
|---|---|---|---|
| Critical | 9.0-10.0 | 可直接RCE或完整数据泄露,无需复杂前置条件 | 命令注入、SQL导出数据库 |
| High | 7.0-8.9 | 可获取敏感数据或权限提升 | IDOR、认证绕过 |
| Medium | 4.0-6.9 | 需用户交互或有限影响 | 存储型XSS、CSRF |
| Low | 0.1-3.9 | 信息泄露或需特殊条件 | 版本泄露、详细错误 |
三维评估模型
严重等级 = f(可达性, 影响范围, 利用复杂度)
| 维度 | 加重(→高等级) | 中等 | 减轻(→低等级) |
|---|---|---|---|
| 可达性 | 未认证可达 | 低权限可达 | 管理员权限才可达 |
| 影响范围 | RCE/全库读取 | 部分数据泄露 | 信息收集 |
| 利用复杂度 | 单请求触发 | 需多步骤 | 需特定环境配合 |
判定决策树
漏洞发现
│
┌──────┴──────┐
│ 未认证可达? │
└──────┬──────┘
YES / \ NO
/ \
┌─────┴─┐ ┌─┴──────┐
│ RCE/ │ │ RCE/ │
│ 全库? │ │ 全库? │
└──┬────┘ └──┬─────┘
YES/ \NO YES/ \NO
│ │ │ │
Critical │ High │
┌──┴──┐ ┌──┴──┐
│广泛 │ │影响?│
│泄露?│ └──┬──┘
└──┬──┘ 数据 加固
YES/ \NO 泄露 建议
│ │ │ │
High Medium Medium Low
量化评分决策树
对每个 finding 用以下评分重新核验:
a. 可达性: 未认证可达(+2) / 低权限(+1) / 管理员(+0) b. 影响: RCE或全库(+3) / 部分数据(+2) / 信息收集(+1) c. 利用复杂度: 单请求(+0) / 多步骤(-1) / 特定环境(-2) d. 防护绕过: 无防护(+0) / 有防护但可绕过(+0) / 有防护且绕过需额外条件(-1)
score = a + b + c + d score ≥ 5 = Critical | 3-4 = High | 1-2 = Medium | ≤0 = Low
攻击链对等级的影响
- 漏洞A(认证绕过) + 漏洞B(需认证的RCE) → 漏洞B 按"未认证可达"重评
- 编号等级 = 独立等级(假设攻击者无其他漏洞)
- 攻击链部分单独给出"组合等级"
编号体系
| 前缀 | 含义 | 示例 |
|---|---|---|
| C-XX | Critical | [C-01] JWT签名未验证导致认证绕过 |
| H-XX | High | [H-01] SSRF可访问内网元数据 |
| M-XX | Medium | [M-01] 存储型XSS |
| L-XX | Low | [L-01] 版本信息泄露 |