高危漏洞(奖金:¥1500)
1、直接获取业务服务器权限的漏洞。包括但不限于任意命令执 行、上传webshell、任意代码执行、SQL注入获取系统权限、缓冲区溢出。
2、严重的敏感信息泄漏(除撞库行为或者通过暴力提交行为获取的部分信息)。包括但不仅限于核心 DB(资金、用户身份、订单) 的 SQL 注入,可获取大量核心用户的身份信息、订单信息、银行卡信息等接口问题引起的敏感信息泄露。
3、严重的逻辑设计缺陷和流程缺陷。包括但不仅限于通过业务接口批量发送任意伪造消息、任意账号资金消费、批量修改任意帐号密码漏洞。
4、敏感信息越权访问。包括但不仅限于绕过认证直接访问管理后台、后台弱密码、获取大量内网敏感信息。
5、越权敏感操作。包括但不仅限于账号越权修改重要信息、进行订单操作、重要业务配置修改等较为重要的越权行为。
6、大范围影响用户的其他漏洞。包括但不仅限于可造成自动传播的重要页面的存储型XSS和涉及交易、资金、密码。
7、公司内部重要数据泄露
中危漏洞(奖金:¥500)
1、需交互方可影响用户的漏洞。包括但不仅限于一般页面的存储型XSS、重要敏感操作的 CSRF。
2、普通资产的普通越权操作。包括但不仅限于不正确的直接对象引用、越权查看订单信息、越权查看用户身份信息等。
3、普通信息泄漏。包括但不仅限于web路径遍历、系统路径遍历。
4、普通的逻辑设计缺陷和流程缺陷
低危漏洞(奖金:¥50)
1、移动客户端安全问题
2、轻微信息泄漏。包括但不仅限于路径信息泄漏、SVN信息泄漏、异常信息泄露,以及客户端应用本地SQL注入(仅泄漏数据库名称、字段名、cache内容)、日志打印、配置信息、异常信息等。
3、难以利用但存在安全隐患的漏洞。包括但不仅限于难以利用的SQL注入点、需构造部分参数且有一定影响的CSRF。
4、轻微越权(边缘功能)
5、对他人造成短信轰炸影响
备注:
以上三个级别问题不包括
1、不涉及安全问题的 Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性等问题。
2、无法利用的漏洞。无敏感操作的 CSRF、无意义的异常信息泄漏、内网 IP 地址/域名泄漏。
3、不能直接反映漏洞存在的其他问题。包括但不仅限于纯属用户猜测的问题。
漏洞评定通用原则
https://www.vulbox.com/faq/?id=196
厂商保护机制
如果同一个系统中短时间发现了大量的同类型高危漏洞(如SQL注入、越权等),审核员判定该系统几乎没有做任何防护,会与厂商沟通该系统的该类型漏洞是否要继续收取;若厂商表示该类漏洞已知不再收取,则平台方正常审核前三个该类型漏洞,其他同类型漏洞均降级处理,并发布通知同系统同类型漏洞均不再收取,直到厂商修复后重新开放该漏洞类型收取。