高危漏洞（奖金：￥1500）

1、直接获取业务服务器权限的漏洞。包括但不限于任意命令执 行、上传webshell、任意代码执行、SQL注入获取系统权限、缓冲区溢出。

2、严重的敏感信息泄漏(除撞库行为或者通过暴力提交行为获取的部分信息)。包括但不仅限于核心 DB（资金、用户身份、订单） 的 SQL 注入，可获取大量核心用户的身份信息、订单信息、银行卡信息等接口问题引起的敏感信息泄露。

3、严重的逻辑设计缺陷和流程缺陷。包括但不仅限于通过业务接口批量发送任意伪造消息、任意账号资金消费、批量修改任意帐号密码漏洞。

4、敏感信息越权访问。包括但不仅限于绕过认证直接访问管理后台、后台弱密码、获取大量内网敏感信息。

5、越权敏感操作。包括但不仅限于账号越权修改重要信息、进行订单操作、重要业务配置修改等较为重要的越权行为。

6、大范围影响用户的其他漏洞。包括但不仅限于可造成自动传播的重要页面的存储型XSS和涉及交易、资金、密码。

7、公司内部重要数据泄露

中危漏洞（奖金：￥500）

1、需交互方可影响用户的漏洞。包括但不仅限于一般页面的存储型XSS、重要敏感操作的 CSRF。

2、普通资产的普通越权操作。包括但不仅限于不正确的直接对象引用、越权查看订单信息、越权查看用户身份信息等。

3、普通信息泄漏。包括但不仅限于web路径遍历、系统路径遍历。

4、普通的逻辑设计缺陷和流程缺陷

低危漏洞（奖金：￥50）

1、移动客户端安全问题

2、轻微信息泄漏。包括但不仅限于路径信息泄漏、SVN信息泄漏、异常信息泄露，以及客户端应用本地SQL注入（仅泄漏数据库名称、字段名、cache内容）、日志打印、配置信息、异常信息等。

3、难以利用但存在安全隐患的漏洞。包括但不仅限于难以利用的SQL注入点、需构造部分参数且有一定影响的CSRF。

4、轻微越权（边缘功能）

5、对他人造成短信轰炸影响

备注：

以上三个级别问题不包括

1、不涉及安全问题的 Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性等问题。

2、无法利用的漏洞。无敏感操作的 CSRF、无意义的异常信息泄漏、内网 IP 地址/域名泄漏。

3、不能直接反映漏洞存在的其他问题。包括但不仅限于纯属用户猜测的问题。

漏洞评定通用原则

https://www.vulbox.com/faq/?id=196

厂商保护机制

如果同一个系统中短时间发现了大量的同类型高危漏洞（如SQL注入、越权等），审核员判定该系统几乎没有做任何防护，会与厂商沟通该系统的该类型漏洞是否要继续收取；若厂商表示该类漏洞已知不再收取，则平台方正常审核前三个该类型漏洞，其他同类型漏洞均降级处理，并发布通知同系统同类型漏洞均不再收取，直到厂商修复后重新开放该漏洞类型收取。