根据漏洞危害程度分为严重（CRITICAL）、高（HIGH）、中（MEDIUM）、低（LOW）、信息（INFO）五个等级，等级对应奖励及评定描述如下：（单位：元）

[ 严重 / CRITICAL ]

1） 直接获取权限的漏洞（声网 SD-RTN™ 核心服务器，官方站点权限）。包括但不限于远程任意命令执行、上传 webshell 等。

2） 直接导致严重的信息泄漏漏洞，如声网控制台 (Agora console )数据，涉及的可影响用户身份信息安全的信息。

[ 高 / HIGH]

1） 越权访问重要系统，包括但不限于绕过认证直接访问管理后台，后台系统弱口令等。

2） 垂直越权操作系统默认设置，或者需要管理员权限才能进行的操作。

3） 平行越权使用他人身份进行敏感操作，查看敏感数据。

4） 系统逻辑漏洞可导致操纵金额购买套餐包。

5） 敏感信息泄漏包括但不仅限于非核心 DB SQL 注入、核心源代码压缩包、硬编码（账号密码、API Key、AK/SK等）问题引起的敏感信息泄露。

6） 未授权访问重要系统数据库，导致敏感信息泄露，如Redis、MongoDB未授权访问。

[ 中 / MEDIUM]

1） 普通信息泄漏漏洞。包括但不限于明文存储密码、普通源代码压缩包泄漏。

2） *.agora.io 等业务子域名劫持。

3） 能直接访问声网内网但无回显的 SSRF 漏洞（需证明该漏洞点确实可以访问内网，且不得对内网服务进行扫描）。

4） 未授权访问运维类系统，不泄露大量 IP 或敏感数据接口。

5） 绕过系统认证验证方式，如绕过console 手机/邮箱二步验证。

[ 低 / LOW ]

1） 需交互才能获取用户身份信息的漏洞。包括但不限于XSS、CSRF，及漏洞组合攻击。

2） 需点击链接或访问特定恶意站点，进行交互的 OAuth 登录或绑定劫持。

3） 只在特定非流行浏览器环境下（如小于 IE11 的浏览器等）才能获取用户身份信息的漏洞。

4） 轻微信息泄漏。包括但不限于 Github 泄露的非敏感系统源码及硬编码信息。

5） 难以利用但又可能存在安全隐患的问题。包括但不限于可能引起传播和利用的 Self-XSS、非重要敏感操作的 CSRF、短信/邮件炸弹、未限制请求导致可暴力破解、JSONP 漏洞。

6） 根据设备、系统、软件或框架的官方告警正在修复的漏洞。

7） 反射 XSS 需要获取用户敏感 cookie，如果只是 alert(document.domain) 可能意义不大。

8） 绕过系统某些限制但不会造成直接经济损失。

[ 信息 / INFO ]

1） 无关安全的 bug。包括但不限于网页乱码、网页无法打开、某功能无法用。

2） 无法利用的“漏洞”。包括但不限于没有实际意义的扫描器漏洞报告（如 Web Server 的低版本）、系统报错输出版本信息或路径、非敏感Debug 信息泄露，输入任意字符系统未校验、Self-XSS、无敏感信息的 JSON Hijacking、无敏感操作的 CSRF（console消息阅读）、无意义的源码泄漏、内网 IP 地址/域名泄漏，及可公开的邮箱地址信息等。

3） 运营预期之内或无法造成资金损失的问题，包括但不限于可使用多个账号领取小额奖励的正常业务活动。