严重漏洞 4000.00

1、无需登录，直接获取核心服务器控制权限，包括但不限于：

1）任意代码执行/命令执行类；

2）任意文件包含/任意文件上传类；

3）通过SQL注入进行数据库提权等导致可获取系统权限；

4）反序列化RCE；

5）其他getshell。

2、核心系统的严重逻辑设计缺陷和流程缺陷。包括但不限于：

1）通过业务接口批量发送任意伪造内容的消息；

2）批量修改任意帐号密码；

3）越权修改其他用户重要信息；

4）重要业务配置修改等较为重要的越权行为漏洞。

本等级奖金上限12000

高危漏洞 2000.00

1、直接获取一般服务器控制权限，包括但不限于：

1）任意代码执行/命令执行类；

2）任意文件包含/任意文件上传类；

3）通过SQL注入进行数据库提权等导致可获取系统权限；

4）反序列化RCE；

5）其他getshell。

2、一般系统的敏感信息泄漏，包括但不限于：

1）一般系统的前台 SQL 注入；

2）通过 SVN 信息泄漏、 Git 信息泄露导致的系统源码泄露。

3、一般系统的严重逻辑设计缺陷和流程缺陷。包括但不限于：

1）绕过认证直接访问管理后台，获取后台超级管理员权限且可以造成大量核心数据泄露或者可以进行相关操作；

2）任意用户登录；

3）任意用户密码重置；

4）越权修改其他用户信息；

5）任意核心数据删除；

6）任意用户删除；

7）直接获取内网敏感信息SSRF；

8）核心系统弱口令漏洞。

4、访问一般系统任意文件的漏洞，包括但不限于：

1）任意文件读取；

2）任意文件下载。

本等级奖金上限20000

中危漏洞 400.00

1、需交互方可影响用户的漏洞，包括但不仅限于：

1）存储型 XSS；

2）一些敏感操作的CSRF（如：支付、发布信息、修改敏感信息等的操作）。

2、普通逻辑设计缺陷与流程缺陷，包括但不限于：

1）越权查看后台页面，并可以获取有限的敏感信息；

2）影响范围有限的越权调用后台接口（如越权修改、越权删除等）；

3）可以获取有限信息的SSRF（例如：内网存活主机、内网开放端口等，127.0.0.1以及外网IP探测除外）；

4）普通系统登录窗口可爆破(需提供成功案例)；

5）普通系统弱口令。

3、可造成中等敏感信息泄露的漏洞，包括但不限于：

1）无严重影响的后台SQL注入漏洞；

2）数据量有限或者敏感程度有限的信息泄露

3）源代码或系统日志等信息泄露。

本等级奖金上限6000

低危漏洞 50.00

1、其他只能造成轻微影响的漏洞，包含但不限于：

1）反射型 XSS（包括反射型 DOM-XSS）；

2）普通 CSRF 等。

2、难以利用但存在安全隐患的漏洞，包括但不限于：

1）较难利用的 SQL 注入点；

2）无法控制内容的短信/邮件炸弹；

3）URL跳转；

4）系统的可撞库接口等。

3、轻微信息泄露漏洞，包括但不限于：

1）可登录后台但无权限或无数据操作;

2）phpinfo泄露;

3）配置信息泄露；

本等级奖金上限2000

项目已结束，动态不可见！请从个人中心查看相关信息。

项目已结束，成员不可见，请从个人中心查看相关信息。

该企业信息只有已报名用户可见。