安全漏洞危险等级划分

对漏洞进行分级分类是漏洞处置环节的关键操作，《信息安全技术安全漏洞等级划分指南》（GB/T30279-2013）规定了信息系统安全漏洞的等级划分要素和危害等级程度，给出了安全漏洞等级划分方法。

该标准中安全漏洞等级划分要素包括访问路径、利用复杂度和影响程度三个方面。

访问路径的赋值包括本地、邻接和远程，通常可被远程利用的漏洞危害程度高于可被邻接利用的漏洞，可被本地利用的漏洞次之。利用复杂度的赋值包括简单和复杂，通常利用复杂度简单的漏洞危害程度高。可将安全漏洞划分为高危、中危、低危三个等级。

高危漏洞是指可远程利用并能直接获取系统权限（服务器端权限、客户端权限）或者能够导致严重级别的信息泄漏（泄漏大量用户信息或学校机密信息）的漏洞，包括但不仅限于：命令注入、远程命令执行、上传获取WebShell、SQL注入、缓冲区溢出、绕过认证直接访问管理后台、核心业务非授权访问、核心业务后台弱密码等。

中危漏洞是指能直接盗取用户身份信息或者能够导致普通级别的信息泄漏的漏洞，包括但不限于存储型XSS漏洞、客户端明文密码存储等。

低危漏洞是指能够导致轻微信息泄露的安全漏洞，包括但不仅限于反射型XSS（包括反射型DOM-XSS）、JSONHijacking、CSRF、路径信息泄露、SVN信息泄露、phpinfo等。**