Cobo

22.00 Ether

Highest

1 Item

Has been claimed

Range

1.目前可测试的域名仅有*.cobo.com 和 *.cobowallet.cn 上的WEB/APP业务,cname到第三方系统的可能会超出范围。
2.超出范围 注意:超出范围的漏洞我们会酌情处理,但大部分会被视为无效漏洞.

Rating
Serious Vulnerability

直接获取系统权限(服务器权限、客户端权限)的漏洞。包括但不限于远程任意命令执行、代码执行、任意文件上传获取Webshell、缓冲区溢出、SQL注入获取系统权限、服务器解析漏洞、文件包含漏洞等。
严重的逻辑设计缺陷。包括但不限于任意账号登陆、任意账号密码修改、短信邮件验证的绕过。
严重的敏感信息泄露。包括但不限于严重的核心DB SQL注入、任意文件包含等。
可对用户或官方造成严重经济损失的漏洞。

High Vulnerability

敏感信息泄漏。包括但不仅限于非核心DB SQL注入、源代码压缩包泄漏、可获取大量用户交易信息的接口、服务器应用加密可逆或明文、移动API访问摘要、硬编码等问题引起的敏感信息泄露。
敏感信息越权访问。包括但不仅限于绕过认证直接访问管理后台、后台弱密码、任意订单查看、任意用户敏感信息访问、获取大量内网敏感信息的SSRF等。
越权敏感操作。包括但不仅限于账号越权修改重要信息、进行订单普通操作、重要业务配置修改等较为重要的越权行为。
大范围影响用户的其他漏洞。包括但不仅限于可造成自动传播的存储型XSS(包括存储型DOM-XSS)和涉及交易、资金、密码的CSRF等。
影响到服务器的本地提权漏洞。

Mid Vulnerability

需交互方可影响用户的漏洞。包括但不仅限于普通CSRF、URL跳转漏洞。
普通越权操作。包括但不仅限于不正确的直接对象引用。
普通信息泄漏。包括但不仅限于web路径遍历、系统路径遍历等。
普通的逻辑设计缺陷和流程缺陷。

Low Vulnerability

轻微信息泄漏。包括但不仅限于路径信息泄漏、SVN信息泄漏、phpinfo、异常信息泄露、日志打印、配置信息、异常信息等。
难以利用但存在安全隐患的漏洞。包括但不仅限于难以利用的SQL注入点、可引起传播和利用的 Self-XSS、需构造部分参数且有一定影响的CSRF。
反射型 XSS(包括反射型 DOM-XSS)
其他未证明实际危害但理论存在的隐患;

Precautions

漏洞奖励标准仅针对cobo的自有业务。域名仅有*.cobo.com 和 *.cobowallet.cn 上的自有业务
提交在其他漏洞披露平台已提交的漏洞不计奖励。
同一漏洞源的多个漏洞仅记为1个。
对于同一个链接url,如果多个参数存在类似的漏洞,按一个漏洞积分,同一链接不同类型的,按危害程度最大的给分。
通用型漏洞,如struts出现新漏洞,首位报告者正常积分,报告时间一周内其他该struts漏洞引起的问题忽略处理,一周后如仍存在该问题则按漏洞对应级别评分
同一漏洞最早提交者得奖励。
平台的第三方应用漏洞酌情处理。

Reward Plan
Serious:6.00 - 22.00 Ether
High:3.00 - 6.00 Ether
Mid:0.20 - 3.00 Ether
Low:0.05 - 0.20 Ether