漏洞提交級別說明

a)高危安全問題：

1、直接獲取業務伺服器許可權的漏洞。包括但不限於任意命令執行、上傳獲取webshell、直接導致嚴重的信息泄漏漏洞。

2、包括但不限於核心DB的SQL注入漏洞（涉及用戶數據、訂單數據、交易數據），直接導致嚴重影響的邏輯漏洞。

3、包括但不限於任意帳號密碼更改漏洞。

4、越權訪問，僅限於重要業務線批量獲取訂單類信息的漏洞(敏感數據明文)、用戶數據信息（明文）、繞過驗證直接訪問後台、重要後台登錄弱口令。

b)中危安全問題：

1、需交互才能獲取用戶身份信息的漏洞。

2、包括但不限於任意文件讀、寫、刪除、下載等操作。

3、包括但不限於繞過限制修改用戶資料、執行用戶操作，較嚴重的信息泄漏漏洞

4、包括但不限於批量獲取用戶類、訂單類信息的漏洞。

5、非核心業務SQL注入，不涉及用戶數據、訂單數據、交易數據，按中風險處理

c)低危安全問題：

1、普通邏輯漏洞；普通信息泄露；需交互才能獲取用戶身份信息並且有一定利用難度的漏洞。

2、Discuz 漏洞問題均按低風險處理(discuz非qunar主要業務)

3、批量下訂單、發垃圾簡訊、加關注按低風險處理

4、越權訪問，包含敏感信息且打碼，按低風險處理

5、代理商弱口令及密碼等信息通過雲盤、筆記、QQ群備註等泄漏的按低風險處理

6、代理商及合作方後台地址外泄導致暴力破解，按低風險處理。

7、猜測或遍歷網站註冊用戶，按低風險處理

d)忽略的問題（無費用）：

1、不涉及安全問題的bug，包括但不限於網站產品功能缺陷、頁面亂碼、樣式混編等。

2、不會直接帶來安全問影響，包括但不限於繞過WAF對業務無影響的，Self-XSS，非登錄相關的URL跳轉，非敏感操作的CSRF，非敏感信息的JSON Hijacking，無意義的源碼泄漏、程序出錯而暴露出來無安全影響的信息、內網IP/域名泄漏，以及需藉助中間人攻擊才能實現的問題。

3、無法重現的漏洞、不能直接體現漏洞的其他問題。包括但不限於純屬用戶推測的問題（需要案例）。

4、廠商內部自行發現的，廠商SRC已知的，第三方漏洞平台報告過的漏洞做忽略處理，且廠商提供相應截圖（其中：高危：4小時，中危：14天，低危：28天）。

5、第三方已披露的漏洞（基礎應用0day，開發框架0day等），距離公告期兩天以上且廠商已知曉的。

6、由於已經對關鍵位置實施HttpOnly限制，XSS漏洞暫不接收（後台盲打類xss除外）。

7、無線訂單鏈接越權查看（用戶等信息打碼，不能遍歷）的按低風險處理

*廠商鼓勵白帽子挖掘高危安全漏洞，如用戶訂單相關的、產品邏輯設計方面的安全漏洞。

注意事項:

1，禁止將項目的測試範圍及規則對外公開

2，漏洞在未公布之前禁止對外公開

3，禁止使用DDOS，自動化掃描工具等可能影響正常業務的攻擊手法

4，涉及以上行為賬戶賞金將凍結，廠商保留追究法律責任的權利。