根据漏洞危害程度分为严重(CRITICAL)、高(HIGH)、中(MEDIUM)、低(LOW)、信息(INFO)五个等级,等级对应奖励及评定描述如下:(单位:元)
[ 严重 / CRITICAL ]
1) 直接获取权限的漏洞(声网 SD-RTN™ 核心服务器,官方站点权限)。包括但不限于远程任意命令执行、上传 webshell 等。
2) 直接导致严重的信息泄漏漏洞,如声网控制台 (Agora console )数据,涉及的可影响用户身份信息安全的信息。
[ 高 / HIGH]
1) 越权访问重要系统,包括但不限于绕过认证直接访问管理后台,后台系统弱口令等。
2) 垂直越权操作系统默认设置,或者需要管理员权限才能进行的操作。
3) 平行越权使用他人身份进行敏感操作,查看敏感数据。
4) 系统逻辑漏洞可导致操纵金额购买套餐包。
5) 敏感信息泄漏包括但不仅限于非核心 DB SQL 注入、核心源代码压缩包、硬编码(账号密码、API Key、AK/SK等)问题引起的敏感信息泄露。
6) 未授权访问重要系统数据库,导致敏感信息泄露,如Redis、MongoDB未授权访问。
[ 中 / MEDIUM]
1) 普通信息泄漏漏洞。包括但不限于明文存储密码、普通源代码压缩包泄漏。
2) *.agora.io 等业务子域名劫持。
3) 能直接访问声网内网但无回显的 SSRF 漏洞(需证明该漏洞点确实可以访问内网,且不得对内网服务进行扫描)。
4) 未授权访问运维类系统,不泄露大量 IP 或敏感数据接口。
5) 绕过系统认证验证方式,如绕过console 手机/邮箱二步验证。
[ 低 / LOW ]
1) 需交互才能获取用户身份信息的漏洞。包括但不限于XSS、CSRF,及漏洞组合攻击。
2) 需点击链接或访问特定恶意站点,进行交互的 OAuth 登录或绑定劫持。
3) 只在特定非流行浏览器环境下(如小于 IE11 的浏览器等)才能获取用户身份信息的漏洞。
4) 轻微信息泄漏。包括但不限于 Github 泄露的非敏感系统源码及硬编码信息。
5) 难以利用但又可能存在安全隐患的问题。包括但不限于可能引起传播和利用的 Self-XSS、非重要敏感操作的 CSRF、短信/邮件炸弹、未限制请求导致可暴力破解、JSONP 漏洞。
6) 根据设备、系统、软件或框架的官方告警正在修复的漏洞。
7) 反射 XSS 需要获取用户敏感 cookie,如果只是 alert(document.domain) 可能意义不大。
8) 绕过系统某些限制但不会造成直接经济损失。
[ 信息 / INFO ]
1) 无关安全的 bug。包括但不限于网页乱码、网页无法打开、某功能无法用。
2) 无法利用的“漏洞”。包括但不限于没有实际意义的扫描器漏洞报告(如 Web Server 的低版本)、系统报错输出版本信息或路径、非敏感Debug 信息泄露,输入任意字符系统未校验、Self-XSS、无敏感信息的 JSON Hijacking、无敏感操作的 CSRF(console消息阅读)、无意义的源码泄漏、内网 IP 地址/域名泄漏,及可公开的邮箱地址信息等。
3) 运营预期之内或无法造成资金损失的问题,包括但不限于可使用多个账号领取小额奖励的正常业务活动。