产品类型

YD1-协同办公平台

YD2-信息系统

YD2-数字化办公平台

YD3-信息系统

YD3-智能低代码开发平台

YD4-硬件系统

YD4-智能机顶盒

YD5-信息系统

YD5-健康管理系统

YD6-信息系统

YD6-数字化营销服务平台

YD7-信息系统

YD7-网站

YD8-信息系统

YD8-智慧工作台

漏洞等级

定级标准

奖金范围

严重漏洞

1、无需登录，直接获取控制权限，包括但不限于：

  1）任意代码执行/命令执行类；

  2）任意文件包含/任意文件上传类；

  3）通过SQL注入进行数据库提权等导致可获取系统权限；

  4）反序列化RCE；

  5）缓冲区溢出；

  6）其他getshell。

硬件系统（10000）

信息系统（5000）

高危漏洞

  1）任意代码执行/命令执行类；

  2）任意文件包含/任意文件上传类；

  3）通过SQL注入进行数据库提权等导致可获取系统权限；

  4）反序列化RCE；

  5）其他getshell。

2、严重逻辑设计缺陷和流程缺陷。包括但不限于：

  1）绕过认证直接访问管理后台，获取后台超级管理员权限且可以造成大量核心数据泄露或者可以进行相关操作；

  2）未授权访问或者越权，可以造成大量核心数据泄露

  3）任意用户登录；

  4）任意用户密码重置；

  5）越权修改其他用户信息；

  6）任意核心数据删除；

  7）任意用户删除；

  8）直接获取内网敏感信息SSRF；

  9)通过业务接口批量发送任意伪造内容的消息。

硬件系统（5000）

信息系统（2000）

中危漏洞

1、需交互方可影响用户的漏洞，包括但不仅限于：

  1）存储型 XSS；

  2）一些敏感操作的CSRF（如：支付、发布信息、修改敏感信息等的操作）。

2、普通逻辑设计缺陷与流程缺陷，包括但不限于：

  1）越权查看后台页面，并可以获取有限的敏感信息；

  2）影响范围有限的越权调用后台接口（如越权修改、越权删除等）；

  3）可以获取有限信息的SSRF（例如：内网存活主机、内网开放端口等，127.0.0.1以及外网IP探测除外）；

  4）普通系统登录窗口可爆破(需提供成功案例)；

  5）暴力破解账号密码；

  6）绕过验证码等

  7) 弱口令。

3、可造成中等敏感信息泄露的漏洞，包括但不限于：

  1）无严重影响的后台SQL注入漏洞；

  2）数据量有限或者敏感程度有限的信息泄 露；

  3）源代码或系统日志等信息泄露；

  4）任意文件读取；

  5）任意文件下载。

硬件系统（2000）

信息系统（500）

低危漏洞

1、其他只能造成轻微影响的漏洞，包含但不限于：

  1）反射型 XSS（包括反射型 DOM-XSS）；

  2）普通 CSRF 等。

2、难以利用但存在安全隐患的漏洞，包括但不限于：

  1）较难利用的 SQL 注入点；

  2）无法控制内容的短信/邮件炸弹；

  3）URL跳转；

  4）系统的可撞库接口等。

3、轻微信息泄露漏洞，包括但不限于：

  1）可登录后台但无权限或无数据操作;

  2）phpinfo泄露;

  3）配置信息泄露；

硬件系统（200）

信息系统（200）