微信二维码

低危漏洞的定义¥50-¥200

1) PC 客户端及移动客户端本地拒绝服务漏洞。包括但不限于组件权限导致的本地拒绝服务漏洞。 2)越权访问。包括但不限于绕过登陆验证访问敏感功能 3) 难以利用但又可能存在安全隐患的问题。包括但不限于可能引起传播和利用的 Self-XSS以及非重要敏感操作的 CSRF 4) 导致移动app客户端拒绝服务的漏洞(不含Android系统漏洞),利用该漏洞可以直接结束移动客户端进程。漏洞利用场景包括但不仅限于跨应用调用、远程浏览网页等本地或远程利用方法。

中危漏洞的定义¥200-¥1000

1)需交互才能获取用户身份信息的漏洞。包括但不限于反射型 XSS(包括反射型 DOM-XSS)、JSON Hijacking、重要敏感操作的 CSRF、普通业务的存储型 XSS。 2)远程应用拒绝服务漏洞、产品本地应用拒绝服务漏洞、敏感信息泄露、内核拒绝服务漏洞、可获取敏感信息或者执行敏感操作的客户端产品的 XSS 漏洞。 3)导致移动app客户端敏感信息泄露的漏洞(不含Android系统漏洞),漏洞场景包括但不仅限于调试信息,逻辑漏洞,功能访问等导致的信息泄露。敏感信息包括但不仅限于用户名、密码、密钥、手机串号等移动客户端产品自身重要数据和隐私信息。 4)越权访问,包括但不限于绕过限制修改用户资料、执行用户操作,参与不在有效时间范围内的活动业务,及参与自身条件受限的活动业务。 5) 重要信息的泄露,包含但不限于加密密钥串泄露,其他业务系统账户信息的泄露。 6)直接获取客户端权限的漏洞。包括但不限于远程任意命令执行、远程缓冲区溢出、可利用的 ActiveX 堆栈溢出、浏览器 use after free 漏洞、远程内核代码执行漏洞以及其它因逻辑问题导致的远程代码执行漏洞。

高危漏洞的定义¥1000-¥3000

1) 直接获取服务器权限的漏洞。包括但不限于远程任意命令执行、可利用远程缓冲区溢出、可利用的 ActiveX 堆栈溢出、可利用浏览器 use after free 漏洞、可利用远程内核代码执行漏洞以及其它因逻辑问题导致的可利用的远程代码执行漏洞、可任意命令执行、可上传webshell、可任意代码执行。 2)直接导致严重的信息泄漏漏洞。包括但不限于重要 DB 的 SQL 注入漏洞、重要业务的重点页面的存储型 XSS 漏洞。 3)用户及权限提升,数据库系统信息提取(数据库列表、表列表、用户列表等)、sa 权限提取、cmdshell权限提取。 4)直接导致严重影响的逻辑漏洞。包括但不限于任意帐号密码更改漏洞,用户无限制修改自己积分及金币的漏洞。 5)越权访问。包括但不限于绕过认证访问管理后台、后台登录弱口令、修改任意用户密码。 6)高风险的信息泄漏漏洞。包括但不限于源代码压缩包泄漏,数据库连接串泄露。