非小号

非小号 (www.feixiaohao.com) 是国内首家最专业的数字货币行业大数据平台,专注于为数字货币用户提供数据分析,数据挖掘服务。我们拥有全球近2000多个数字货币,20...

3.88 Ether

Highest

1 Item

Has been claimed

Range

1. 目前可测试的域名包括但不限于(*.feixiaohao.com、*.fxh.io),xx集团客户端包括所有通过官方途径发布的客户端程序
2. 超出范围 注意:超出范围视为无效漏洞处理.

Rating
Serious Vulnerability

• 直接获取系统权限(服务器端权限、客户端权限)的漏洞。包括但不仅限于:命令注入、远程命令执行、上传获取 WebShell、SQL注入获取系统权限、缓冲区溢出(包括可利用的 ActiveX缓冲区溢出)。
• 直接导致拒绝服务的漏洞。包括通过该远程拒绝服务漏洞直接导致线上应用系统、网络设备、服务器无法继续提供服务的漏洞。
• 直接获取系统权限(服务器端权限、客户端权限)的漏洞。包括但不仅限于:命令注入、远程命令执行、上传获取 WebShell、SQL注入获取系统权限、缓冲区溢出(包括可利用的 ActiveX缓冲区溢出)。
• 直接导致拒绝服务的漏洞。包括通过该远程拒绝服务漏洞直接导致线上应用系统、网络设备、服务器无法继续提供服务的漏洞。
• 严重的逻辑设计缺陷。包括但不仅限于共识机制缺陷、验证可绕过等严重问题。
• 严重级别的信息泄漏。包括但不限于重要DB的SQL注入漏洞、包含配置信息等敏感信息的源代码压缩包泄漏、包含订单、用户信息的日志文件;
• 严重的登录及验证安全风险。
• 可对用户或官方造成严重经济损失的漏洞。

High Vulnerability

• 越权访问。包括但不仅限于绕过认证直接访问管理后台可操作、核心业务非授权访问、核心业务后台弱密码等。
• 能直接盗取关键业务等用户身份信息的漏洞。包括:重点页面的存储型安全漏洞评分标准XSS漏洞、普通系统的SQL注入漏洞。
• 高风险的逻辑设计缺陷。包括但不仅限于查看任意用户信息、修改相关状态等。
• 高风险的信息泄漏漏洞。包括但不限于普通源代码压缩包泄漏、配置信息泄露;

Mid Vulnerability

• 普通信息泄露。包括但不仅限于客户端明文密码存储。
• 需交互才能获取用户身份信息的漏洞。包括但不限于反射型 XSS、JSON Hijacking、重要操作的 CSRF、普通业务的存储型XSS。

Low Vulnerability

• 轻微信息泄露。包括但不仅限于路径信息泄露、svn信息泄露、phpinfo、异常信息泄露。
• 部分对业务只能造成轻微影响的漏洞,包括但不仅限于部分反射型 XSS(包括反射型 DOM-XSS)、普通CSRF、URL跳转漏洞。

Precautions

• 漏洞奖励标准仅针对非小号的业务。目前非小号的域名包括但不限于(*.feixiaohao.com、*.fxh.io)
• 客户端包括所有通过官方途径发布的客户端程序;
• 提交在其他漏洞披露平台已提交的漏洞不计奖励。
• 开放平台的第三方应用漏洞不计奖励;
• 同一漏洞最早提交者得奖励。

Reward Plan
Serious:2.88 - 3.88 Ether
High:0.88 - 2.88 Ether
Mid:0.18 - 0.88 Ether
Low:0.05 - 0.18 Ether