倒计时1天！单个漏洞最高奖励2万元！

1、高风险的信息泄露漏洞，包括但不限于SQL注入漏洞、泄露用户账户支付相关信息泄露、核心功能的源代码泄露、泄露用户隐私信息、泄露可用的数据库连接信息等；

2、可获取重要系统权限，包括但不限于通过弱口令或未授权等方式获取网络设备权限、安全设备权限、大数据系统权限、堡垒机权限、办公系统权限、邮箱权限、终端权限、云管理平台权限；

3、逻辑越权类漏洞，包括但不限于绕过认证直接访问管理后台可操作、越权可获取大量用户敏感信息、任意用户登录可查看用户敏感信息等；

4、非本次活动平安公司业务，但平安活动公司是该业务的用户，且可获取大量平安用户信息、平安工作文件、平安源码信息等；

5、能直接访问内网且可获取回显的SSRF漏洞；

6、访问任意系统文件的漏洞，包括但不限于任意文件包含、任意文件读取、任意文件删除等。

1、普通信息泄露，包括但不限于包含服务器或数据库敏感信息的源代码压缩包下载、springboot未授权访问敏感端点信息等；

2、普通的逻辑缺陷和越权，包括但不限于一般功能的越权行为和设计缺陷、可越权访问少量用户敏感信息、以及对经济价值影响较小的漏洞；

3、需交互才能获取用户身份信息的漏洞，包括但不限于敏感操作的CSRF，json hijacking、可造成严重危害的存储型XSS、需要用户点击的WebView组件漏洞等；

4、弱验证机制引发的漏洞，包括但不限于帐户相关暴力破解并且可成功登录等漏洞；

5、能直接访问平安内网但无回显的SSRF漏洞；

6、重要功能的CSRF，包括但不限于可交互修改他人密码、删除重要信息等。

1、可被利用于钓鱼攻击的漏洞，包括但不限于URL重定向漏洞等；

2、轻微信息泄露：服务器敏感信息的日志文件下载、客户端明文存储密码；

3、提供poc但难以利用的安全隐患。包括但不限于可能引起传播的self-xss、不能引起较大危害的存储型XSS、反射型XSS（包括反射型DOM-XSS，Flash型XSS）等；

4、无法获得数据的SQL注入漏洞；

5、一般信息泄露漏洞：包括但不限于SVN文件泄露、LOG文件泄露、Phpinfo等；

6、存在越权，但利用难度较大的漏洞，包括但不限于参数无规律且无法通过其他途径获取的越权漏洞等；

1、不涉及安全问题的BUG，包括但不限于产品功能缺陷、页面乱码、样式问题；

2、无法利用的漏洞，包括但不限于难以利用的self-xss、非敏感操作的CSRF、用户弱口令、无敏感信息的json hijacking、无意义的源码泄露、内网ip地址/域名泄露、后台信息泄漏、路径信息泄露、TFS信息泄露、网站路径泄露、不能解析的任意文件上传、没有实际意义的扫描器漏洞报告、无敏感信息的svn文件/phpinfo/logcat等等；

3、不能重现的漏洞，包括但不仅限于PSRC工作人员确认无法重现的漏洞；

4、运营预期之内或无法造成资金损失的问题，包括但不限于使用多个账号领取小额奖励的正常业务活动；

5、移动端：

① 不涉及安全问题的bug。包括但不限于产品功能缺陷、页面乱码、样式混编、静态文件目录遍历、应用兼容性等问题等；

② 无实际意义的漏洞。包括但不限于无意义的打印，没有实际意义的扫描器漏洞报告(如：硬编码、无混淆，Activity组件劫持、未加固/脱壳反编译、Janus签名绕过等)；

③ 实际业务需要配置的有风险的权限但是无法利用的漏洞；

④ 无法重现的漏洞、不涉及敏感信息的信息泄露、不能直接体现漏洞的其他问题。包括但不限于纯属用户猜测的问题；

⑤ 低影响的本地DoS攻击；

6、PC端：无利用价值的Crash等。