严重漏洞

1、无需登录，直接获取核心服务器控制权限，包括但不限于：

1）任意代码执行/命令执行类；

2）任意文件包含/任意文件上传类；

3）通过SQL注入进行数据库提权等导致可获取系统权限；

4）反序列化RCE；

5）其他getshell。

2、核心系统的严重敏感信息泄漏，包括但不限于：

1）核心 DB（用户信息、交易信息） 的 SQL 注入；

2）可获取大量用户的身份信息、订单信息、银行卡信息等多维度的敏感信息泄露。

3、核心系统的严重逻辑设计缺陷和流程缺陷。包括但不限于：

1）通过业务接口批量发送任意伪造内容的消息；

2）任意账号资金消费或窃取；

3）批量修改任意帐号密码；

4）越权修改其他用户重要信息；

5）进行订单关键操作；

6）重要业务配置修改等较为重要的越权行为漏洞。

4、可直接获取管控系统的控制权限，包括但不限于：

1）堡垒机；

2）域控；

3）业务与分发系统。

高危漏洞

1、直接获取一般服务器控制权限，包括但不限于：

1）任意代码执行/命令执行类；

2）任意文件包含/任意文件上传类；

3）通过SQL注入进行数据库提权等导致可获取系统权限；

4）反序列化RCE；

5）其他getshell。

2、一般系统的敏感信息泄漏，包括但不限于：

1）一般系统的前台 SQL 注入；

2）通过 SVN 信息泄漏、 Git 信息泄露导致的系统源码泄露。

3、一般系统的严重逻辑设计缺陷和流程缺陷。包括但不限于：

1）绕过认证直接访问管理后台，获取后台超级管理员权限且可以造成大量核心数据泄露或者可以进行相关操作；

2）任意用户登录；

3）任意用户密码重置；

4）越权修改其他用户信息；

5）任意核心数据删除；

6）任意用户删除；

7）一般系统的各种支付绕过；

8）直接获取内网敏感信息SSRF；

9）核心系统弱口令漏洞。

4、访问一般系统任意文件的漏洞，包括但不限于：

1）任意文件读取；

2）任意文件下载。

中危漏洞

1、直接获取一般服务器控制权限，包括但不限于：

1）任意代码执行/命令执行类；

2）任意文件包含/任意文件上传类；

3）通过SQL注入进行数据库提权等导致可获取系统权限；

4）反序列化RCE；

5）其他getshell。

2、一般系统的敏感信息泄漏，包括但不限于：

1）一般系统的前台 SQL 注入；

2）通过 SVN 信息泄漏、 Git 信息泄露导致的系统源码泄露。

3、一般系统的严重逻辑设计缺陷和流程缺陷。包括但不限于：

1）绕过认证直接访问管理后台，获取后台超级管理员权限且可以造成大量核心数据泄露或者可以进行相关操作；

2）任意用户登录；

3）任意用户密码重置；

4）越权修改其他用户信息；

5）任意核心数据删除；

6）任意用户删除；

7）一般系统的各种支付绕过；

8）直接获取内网敏感信息SSRF；

9）核心系统弱口令漏洞。

4、访问一般系统任意文件的漏洞，包括但不限于：

1）任意文件读取；

2）任意文件下载。

低危漏洞

1、其他只能造成轻微影响的漏洞，包含但不限于：

1）反射型 XSS（包括反射型 DOM-XSS）；

2）普通 CSRF 等。

2、难以利用但存在安全隐患的漏洞，包括但不限于：

1）较难利用的 SQL 注入点；

2）无法控制内容的短信/邮件炸弹；

3）URL跳转；

4）系统的可撞库接口等。

3、轻微信息泄露漏洞，包括但不限于：

1）可登录后台但无权限或无数据操作;

2）phpinfo泄露;

3）配置信息泄露。

• 2 天前
  gpc报名参加了本项目
• 2 天前
  沉着很陈卓报名参加了本项目
• 2 天前
  王良一报名参加了本项目
• 2 天前
  本项目开始接受用户报名。
• 2 天前
  平台更新了本项目的信息。
• 2 天前
  企业发布了本项目，等待开始。

	王良一 实习白帽	发现漏洞： * 个， 已确认漏洞： * 个
	沉着很陈卓 实习白帽	发现漏洞： * 个， 已确认漏洞： * 个
	gpc 实习白帽	发现漏洞： * 个， 已确认漏洞： * 个

该企业信息只有已报名用户可见。