安全漏洞分级指南：高危、中危、低危如何界定

安全漏洞的严重程度如何界定？这个问题看似简单，实际上涉及到安全团队的资源分配、修复优先级、甚至是否需要紧急响应。

不同公司有不同的分级标准，但核心逻辑是一致的：评估漏洞被利用后的影响范围和利用难度。本文整理了业界通用的三级分类标准，帮助开发者快速判断漏洞的紧急程度。

分级的核心逻辑

漏洞分级本质上是在回答一个问题：如果这个漏洞被攻击者利用，最坏的情况是什么？

评估维度包括：

• 影响范围：单个用户、部分用户、还是全部用户？
• 数据敏感度：普通信息、用户隐私、还是核心业务数据？
• 利用难度：需要用户交互、还是可以远程直接利用？
• 权限提升：能否获取系统权限、管理员权限？

高危漏洞

高危漏洞的特征是：攻击者可以直接获取系统控制权，或者造成大规模数据泄露。这类漏洞需要立即修复，通常要求 24 小时内响应。

典型场景

远程代码执行（RCE）：攻击者可以在服务器上执行任意命令。这是最严重的漏洞类型，一旦被利用，服务器完全失控。

SQL 注入获取系统权限：不仅能读取数据，还能通过数据库特性执行系统命令或写入文件。

任意文件上传获取 Webshell：攻击者上传恶意脚本，获得服务器的持久控制权。

核心业务数据泄露：用户密码、支付信息、身份证号等敏感数据被批量获取。

认证绕过：无需登录即可访问管理后台，或者通过弱密码直接进入核心系统。

批量账号操作：可以批量修改任意用户密码、批量删除用户数据等。

存储型 XSS（自动传播）：恶意脚本存储在服务器，所有访问该页面的用户都会被攻击，且可能自动传播。

中危漏洞

中危漏洞的特征是：需要用户交互才能利用，或者影响范围有限。这类漏洞需要在版本迭代中修复，通常要求一周内处理。

典型场景

普通存储型 XSS：恶意脚本存储在服务器，但不会自动传播，影响范围可控。

核心业务的 CSRF：攻击者诱导用户点击链接，以用户身份执行敏感操作（如转账、修改密码）。

普通越权：用户 A 可以查看或修改用户 B 的非敏感信息。

短信轰炸：验证码接口没有频率限制，可以被滥用发送大量短信。

任意注册：可以使用任意手机号或邮箱注册账号，绕过验证流程。

低危漏洞

低危漏洞的特征是：危害有限，利用条件苛刻，或者只影响本地环境。这类漏洞可以在常规安全维护中处理。

典型场景

反射型 XSS：恶意脚本不存储在服务器，需要诱导用户点击特定链接才能触发。

普通 CSRF：影响的是非敏感操作，如修改昵称、头像等。

URL 跳转漏洞：可以构造链接跳转到钓鱼网站，但需要用户主动点击。

路径遍历：可以读取服务器上的部分文件，但无法获取敏感配置或执行代码。

客户端本地问题：如 App 本地存储明文密码、本地拒绝服务等，需要物理接触设备才能利用。

信息泄露（低敏感度）：如服务器版本号、框架版本等，可能为后续攻击提供信息，但本身危害有限。

快速判断流程

遇到漏洞时，按以下顺序判断：

1. 能否远程执行代码或命令？ 是 → 高危
2. 能否获取大量敏感数据？ 是 → 高危
3. 能否绕过认证进入核心系统？ 是 → 高危
4. 需要用户交互才能利用？ 是 → 中危或低危
5. 只影响本地或单个用户？ 是 → 低危

总结

漏洞分级的目的是合理分配安全资源。高危漏洞需要立即响应，中危漏洞需要计划修复，低危漏洞可以常规处理。

几点提醒：

• 分级标准因业务而异，金融系统的中危可能是普通系统的高危
• 漏洞的实际危害取决于业务上下文，同样的 SQL 注入在测试环境和生产环境危害完全不同
• 不要忽视低危漏洞的组合利用，多个低危漏洞串联可能造成高危影响