严重安全问题（参考：￥5000-20000元/个）

1.直接获取核心服务器权限的漏洞，包括但不限于上传Webshell、任意代码执行、远程命令执行等；

2.核心系统严重的信息泄露漏洞，包括但不限于核心DB的SQL注入、大量用户严重敏感身份信息泄露（如包含敏感字段：姓名/身份证、银行卡信息、手机号/邮箱、密码、地址等）、企业内部核心数据泄露等；

3.核心系统严重的逻辑设计或流程缺陷，包括但不限于批量修改任意账号密码漏洞、任意账号资金消费、任意金额修改的支付漏洞等；

4.严重影响核心系统可用性的漏洞，如可直接导致核心系统业务瘫痪的拒绝服务漏洞（如S2-020补丁绕过切换web目录可直接导致网站挂掉）；

高危安全问题（参考：￥1500-5000元/个）

1.直接获取重要业务服务器权限的漏洞。包括但不限于任意命令执 行、上传webshell、任意代码执行；

2.直接导致重要的信息泄漏漏洞。包括但不限于重要DB的SQL注入漏洞；重要业务大量源码泄露；

3.严重的越权访问。包括但不限于绕过认证访问重要系统后台；批量盗取用户重要身份信息；

4.较严重的逻辑设计或流程缺陷，包括但不限于重要系统任意密码重置漏洞；

中危安全问题（参考：￥500-1500元/个）

1.需交互才能获取用户身份信息的漏洞。包括但不限于核心及重要系统存储型XSS漏洞；

2.任意文操作漏洞。包括但不限于任意文件读、写、删除、下载等操作；

3.普通的越权访问。包括但不限于绕过限制修改用户资料、执行用户操作、读取用户信息；绕过限制访问非重要系统后台；

4.比较严重的信息泄漏漏洞。包括但不限于敏感信息文件泄露（如DB连接密码）；

低危安全问题（参考：￥50-200元/个）

能够造成一定影响但无法直接获取设备权限和影响数据安全的漏洞，包括但不限于：

1.反射型XSS；

2.普通的CSRF；URL跳转；

3.轻微信息泄漏，如phpinfo；

4.其他难以利用但存在安全隐患的漏洞。

备注：

以上三个级别问题不包括

1、不涉及安全问题的 Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性等问题。

2、无法利用的漏洞。无敏感操作的 CSRF、无意义的异常信息泄漏、内网 IP 地址/域名泄漏。

3、不能直接反映漏洞存在的其他问题。包括但不仅限于纯属用户猜测的问题。

漏洞评定通用原则

https://www.vulbox.com/faq/?id=196

厂商保护机制

如果同一个系统中短时间发现了大量的同类型高危漏洞（如SQL注入、越权等），审核员判定该系统几乎没有做任何防护，会与厂商沟通该系统的该类型漏洞是否要继续收取；若厂商表示该类漏洞已知不再收取，则平台方正常审核前三个该类型漏洞，其他同类型漏洞均降级处理，并发布通知同系统同类型漏洞均不再收取，直到厂商修复后重新开放该漏洞类型收取。