INFO5995-A2-Task5-影响评估与严重性映射指南
INFO5995 Task 5 — 影响评估与严重性映射指南
标准化严重性体系(Normalized Tiers)
Assignment 2 使用统一的 S0-S4 分层,无论平台原始标签如何:
| Tier | 原始标签对应 | CVSS v3.1 | 分值 |
|---|---|---|---|
| S4 Critical | HackerOne Critical; Bugcrowd P1; Immunefi Critical; Intigriti Critical; YesWeHack Critical | ≥ 9.0 | 6.0 |
| S3 High | HackerOne High; Bugcrowd P2; Immunefi High; Intigriti High; YesWeHack High | 7.0-8.9 | 4.5 |
| S2 Medium | HackerOne Medium; Bugcrowd P3; Immunefi Medium; Intigriti Medium; YesWeHack Medium | 4.0-6.9 | 3.0 |
| S1 Low | HackerOne Low; Bugcrowd P4/P5; Immunefi Low; Intigriti Low; YesWeHack Low | 0.1-3.9 | 1.5 |
| S0 None | Informational; Policy; Non-exploitable | 0.0 | 0.0 |
映射规则
优先级规则
- 平台标签优先: 若平台明确给出 Critical/High/Medium/Low,直接使用
- CVSS 回退: 若平台无标签,用 CVSS v3.1 计算器推导
- 证据约束: 学生自报严重性无充分证据 → 最高 S2
各平台对应速查
HackerOne
| H1 Severity | Normalized |
|---|---|
| Critical | S4 |
| High | S3 |
| Medium | S2 |
| Low | S1 |
| Informational | S0 |
Bugcrowd
| Bugcrowd Priority | Normalized |
|---|---|
| P1 | S4 |
| P2 | S3 |
| P3 | S2 |
| P4/P5 | S1 |
Immunefi
| Immunefi Severity | Normalized |
|---|---|
| Critical | S4 |
| High | S3 |
| Medium | S2 |
| Low | S1 |
CVSS v3.1 快速计算(无平台标签时)
简易评估框架
攻击向量 (AV) - 网络可远程触发 → AV:N (最高) - 需要本地访问/特定条件 → AV:L 或 AV:P
攻击复杂度 (AC) - 低:标准工具即可,无需特殊条件 → AC:L - 高:需要绕过防护、特定时间窗口等 → AC:H
权限要求 (PR) - 无需认证 → PR:N (最严重) - 普通用户 → PR:L - 管理员 → PR:H
用户交互 (UI) - 无需用户交互 → UI:N - 需要用户点击/操作 → UI:R
影响范围 (S) - 只影响 vulnerable component → S:U - 影响超出自身(如波及其他用户/系统)→ S:C
机密性/完整性/可用性 (C/I/A) - 无影响 → N - 部分影响 → L - 完全影响 → H
在线计算器
- https://www.first.org/cvss/calculator/3.1
影响论证框架(Impact-evidence Score)
评分标准:0-2 分
2 分(完整证据)
1 分(部分证据)
0 分(推测性)
论证写作模板
## 影响论证 |
平台严重性参考链接
- HackerOne: https://docs.hackerone.com/en/articles/8494552-severity-taxonomy
- Bugcrowd VRT: https://www.bugcrowd.com/vulnerability-rating-taxonomy/
- Intigriti: https://kb.intigriti.com/en/articles/4917102-intigriti-triage-standards
- Immunefi: https://immunefi.com/immunefi-vulnerability-severity-classification-system-v2-3/