根据漏洞对公司整体业务的影响程度将漏洞等级分为【高】、【中】、【低】三个等级：

【高危漏洞】

1、直接获取业务服务器权限的漏洞。包括但不限于任意命令执 行、上传webshell、任意代码执行、SQL注入获取系统权限、缓冲区溢出；

2、直接获取基础架构系统权限包括但不限于：核心业务操作系统、核心业务数据库、防火墙等；

3、严重的敏感信息泄漏(除撞库行为或者通过暴力提交行为的部分信息)。包括但不仅限于核心 DB（资金、用户身份、订单） 的 SQL 注入，可获取大量核心用户的身份信息、订单信息、银行卡信息等接口问题引起的敏感信息泄露；

4、重要系统弱口令、公司内部重要数据泄露；

5、敏感信息越权访问。包括但不仅限于绕过认证直接访问管理后台、后台弱密码、获取大量内网敏感信息；

 严重的逻辑设计缺陷和流程缺陷。包括但不仅限于通过业务接口批量发送任意伪造消息、任意账号资金消费、批量修改任意帐号密码漏洞、支付逻辑漏洞等；

 越权敏感操作。包括但不仅限于账号越权修改重要信息、进行订单操作、重要业务配置修改等较为重要的越权行为；

6、大范围影响用户的其他漏洞。包括但不仅限于可造成自动传播的重要页面的存储型XSS和涉及交易、资金、密码；

7、SSRF类型漏洞可探测内网等

【中危漏洞】

1、需交互方可影响用户的漏洞。包括但不仅限于一般页面的存储型XSS、重要敏感操作的 CSRF、SSRF、JSON劫持 、重要敏感操作的CSRF、URL跳转漏洞；

2、普通信息泄漏。包括但不仅限于客户端明文存储密码、用户和系统私钥、web路径遍历、系统路径遍历，非重要系统的普通代码泄露；

3、普通越权操作。包括但不仅限于不正确的直接对象引用、越权查看订单信息、越权查看用户身份信息等；

4、普通的逻辑设计缺陷和流程缺陷；

5、可导致资源滥用或造成对用户骚扰的漏洞，包括但不限于：短信炸弹、邮件炸弹等；

6、弱口令。普通系统后台的弱口令

【低危漏洞】

1、移动客户端安全问题；

2、轻微信息泄漏。包括但不仅限于路径信息泄漏、SVN/GIT信息泄漏、异常信息泄露，以及客户端应用本地SQL注入（仅泄漏数据库名称、字段名、cache内容）、日志打印、配置信息、异常信息等；

3、难以利用但存在安全隐患的漏洞。包括但不仅限于难以利用的SQL注入点、需构造部分参数且有一定影响的CSRF、SSRF；

4、无限制短信、验证接口，可暴力破解的接口。

【忽略】

1、不涉及安全问题的Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性等问题。

2、无法利用的漏洞。无敏感操作的 CSRF、SSRF、Self-XSS、无意义的异常信息泄漏、内网IP地址/域名泄漏。

3、不能直接反映漏洞存在的其他问题。包括但不仅限于纯属用户猜测的问题。

其他不在细分类型里的问题，根据实际危害及CVSS进行综合评价。CVSS风险评估模型参：https://www.vulbox.com/faq#leakMark；

漏洞评定通用原则

https://www.vulbox.com/faq/?id=196

特别注意事项

1） 禁止脱裤、禁止通过漏洞获取10条以上数据；

2） 禁止使用工具大批量扫描导致业务或网络受到影响；

3） 禁止批量爆破VPN、邮箱等账号导致他人账号锁定；

4） 禁止发现的漏洞公布到其他平台或博客；

5） 不接收无实质性危害的漏洞，提交的漏洞尽可能附上危害截图；

6） 禁止进行钓鱼攻击；

7）除特别获准的情况下，严禁与漏洞无关的社工，严禁进行内网渗透；

8）帐号可注册的情况下，仅允许用自己的2个帐号验证漏洞效果，禁止涉及线上正常用户帐号执行增删改等操作，请使用自己测试帐号进行；

9） 如果可以shell或者命令执行的，推荐上传一个文本证明，如纯文本的1.php、1.jsp等证明问题存在即可

厂商保护机制

如果同一个系统中短时间发现了大量的同类型高危漏洞（如SQL注入、越权等），审核员判定该系统几乎没有做任何防护，会与厂商沟通该系统的该类型漏洞是否要继续收取；若厂商表示该类漏洞已知不再收取，则平台方正常审核前三个该类型漏洞，其他同类型漏洞均降级处理，并发布通知同系统同类型漏洞均不再收取，直到厂商修复后重新开放该漏洞类型收取。