1、低危漏洞:1) PC 客户端及移动客户端本地拒绝服务漏洞。包括但不限于组件权限导致的本地拒绝服务漏洞。2)越权访问。包括但不限于绕过登陆验证访问敏感功能 。3) 难以利用但又可能存在安全隐患的问题。包括但不限于可能引起传播和利用的 Self-XSS以及非重要敏感操作的 CSRF 。4) 导致移动app客户端拒绝服务的漏洞(不含Android系统漏洞),利用该漏洞可以直接结束移动客户端进程。漏洞利用场景包括但不仅限于跨应用调用、远程浏览网页等本地或远程利用方法。
2、中危漏洞:1)需交互才能获取用户身份信息的漏洞。包括但不限于反射型 XSS(包括反射型 DOM-XSS)、JSON Hijacking、重要敏感操作的 CSRF、普通业务的存储型 XSS 。2)远程应用拒绝服务漏洞、产品本地应用拒绝服务漏洞、敏感信息泄露、内核拒绝服务漏洞、可获取敏感信息或者执行敏感操作的客户端产品的 XSS 漏洞 。3) 导致移动app客户端敏感信息泄露的漏洞(不含Android系统漏洞),漏洞场景包括但不仅限于调试信息,逻辑漏洞,功能访问等导致的信息泄露。敏感信息包括但不仅限于用户名、密码、密钥、手机串号等移动客户端产品自身重要数据和隐私信息。4) 越权访问,包括但不限于绕过限制修改用户资料、执行用户操作
3、高危漏洞:1) 直接获取权限的漏洞(服务器权限、移动app客户端权限)。包括但不限于远程任意命令执行、可利用远程缓冲区溢出、可利用的 ActiveX 堆栈溢出、可利用浏览器 use after free 漏洞、可利用远程内核代码执行漏洞以及其它因逻辑问题导致的可利用的远程代码执行漏洞、可任意命令执行、可上传webshell、可任意代码执行。2)直接导致严重的信息泄漏漏洞。包括但不限于重要 DB 的 SQL 注入漏洞、重要业务的重点页面的存储型 XSS 漏洞。3) 直接导致严重影响的逻辑漏洞。包括但不限于任意帐号密码更改漏洞。4) 移动客户端app产品的自身开发功能的漏洞(不含Android系统漏洞).以远程方式获取移动客户端权限执行任意命令和代码,漏洞场景包括但不仅限于远程端口连接、浏览网页和关联文件打开等远程利用方式。5)越权访问。包括但不限于绕过认证访问管理后台、后台登录弱口令、修改任意用户密码 。6)高风险的信息泄漏漏洞。包括但不限于源代码压缩包泄漏。7)客户软件本地任意代码执行。包括但不限于本地可利用的堆栈溢出、UAF、double free、format string、本地提权、文件关联的 DLL 劫持(不包括加载不存在的 DLL 文件及加载正常 DLL 未校验合法性)以及客户端产品的远程 DoS 漏洞、其它逻辑问题导致的本地代码执行漏洞 。8)直接获取客户端权限的漏洞。包括但不限于远程任意命令执行、远程缓冲区溢出、可利用的 ActiveX 堆栈溢出、浏览器 use after free 漏洞、远程内核代码执行漏洞以及其它因逻辑问题导致的远程代码执行漏洞。9)属于移动app客户端产品的自身开发功能的漏洞(不含Android系统漏洞),第三方应用可以跨应用调用移动客户端产品的功能完成一些高危操作,包括但不仅限于文件读写,短信读写,客户端自身数据读写等。
