严重漏洞 5000.00

1、无需登录，直接获取核心服务器控制权限，包括但不限于：

1）任意代码执行/命令执行类；

2）任意文件包含/任意文件上传类；

3）通过SQL注入进行数据库提权等导致可获取系统权限；

4）反序列化RCE；

5）其他getshell。

2、核心系统的严重敏感信息泄漏，包括但不限于：

1）核心 DB（用户信息、交易信息） 的 SQL 注入；

2）可获取大量用户的身份信息、订单信息、银行卡信息等多维度的敏感信息泄露。

3、核心系统的严重逻辑设计缺陷和流程缺陷。包括但不限于：

1）通过业务接口批量发送任意伪造内容的消息；

2）任意账号资金消费或窃取；

3）批量修改任意帐号密码；

4）越权修改其他用户重要信息；

5）进行订单关键操作；

6）重要业务配置修改等较为重要的越权行为漏洞。

4、可直接获取管控系统的控制权限，包括但不限于：

1）堡垒机；

2）域控；

3）业务与分发系统。

高危漏洞 2000.00

1、直接获取一般服务器控制权限，包括但不限于：

1）任意代码执行/命令执行类；

2）任意文件包含/任意文件上传类；

3）通过SQL注入进行数据库提权等导致可获取系统权限；

4）反序列化RCE；

5）其他getshell。

2、一般系统的敏感信息泄漏，包括但不限于：

1）一般系统的前台 SQL 注入；

2）通过 SVN 信息泄漏、 Git 信息泄露导致的系统源码泄露。

3、一般系统的严重逻辑设计缺陷和流程缺陷。包括但不限于：

1）绕过认证直接访问管理后台，获取后台超级管理员权限且可以造成大量核心数据泄露或者可以进行相关操作；

2）任意用户登录；

3）任意用户密码重置；

4）越权修改其他用户信息；

5）任意核心数据删除；

6）任意用户删除；

7）一般系统的各种支付绕过；

8）直接获取内网敏感信息SSRF；

9）核心系统弱口令漏洞。

4、访问一般系统任意文件的漏洞，包括但不限于：

1）任意文件读取；

2）任意文件下载。

中危漏洞 500.00

1、需交互方可影响用户的漏洞，包括但不仅限于：

1）存储型 XSS；

2）一些敏感操作的CSRF（如：支付、发布信息、修改敏感信息等的操作）。

2、普通逻辑设计缺陷与流程缺陷，包括但不限于：

1）越权查看后台页面，并可以获取有限的敏感信息；

2）影响范围有限的越权调用后台接口（如越权修改、越权删除等）；

3）可以获取有限信息的SSRF（例如：内网存活主机、内网开放端口等，127.0.0.1以及外网IP探测除外）；

4）普通系统登录窗口可爆破(需提供成功案例)；

5）普通系统弱口令。

3、可造成中等敏感信息泄露的漏洞，包括但不限于：

1）无严重影响的后台SQL注入漏洞；

2）数据量有限或者敏感程度有限的信息泄露；

3）源代码或系统日志等信息泄露。

项目已结束，动态不可见！请从个人中心查看相关信息。

项目已结束，成员不可见，请从个人中心查看相关信息。

该企业信息只有已报名用户可见。