• 对于保护广大用户利益、帮助挖财旗下产品安全提升的白帽子黑客，我们十分非常欢迎并提供丰厚的奖励

• 对同一地址同一类型漏洞最先报告者给予奖励，其他报告者均不记分，且不公开漏洞详情

• 奖励仅适用于挖财旗下的产品和业务，并在本平台上提交的漏洞和威胁情报，在外部平台上提交做无效处理

• 我们坚决反对和谴责一切以漏洞测试为借口，利用安全漏洞进行破坏、损害广大用户利益的黑客行为，包括但不限于利用漏洞盗取用户资料、入侵业务系统、修改、窃取或删除相关系统资料、恶意传播漏洞或数据等。对于发生上述行为的，我们有权追究其非法行为所应承担的法律责任

• 奖励制度：1积分=5人民币，特别活动可根据情况奖励翻倍，根据漏洞具体情况也可能会有额外奖励

• 评分标准：漏洞积分=漏洞系数*应用系数

• 对接收的漏洞安全团队进行评审，根据漏洞出现的业务重要等级、危害程度分为严重、高危、中危、低危、忽略五个级别，每个级别涵盖的漏洞以及评分标准如下：

• 漏洞系数：严重40-50，高危10-40，中危4-10，低危1-5，忽略0

• 应用系数：一级业务10，二级业务5

• 严重（40-50）

1. 直接获取系统权限（线上服务器、生产网数据库）的漏洞。包括但不限于远程任意命令执行

2. 任意文件上传获取Webshell并可执行、SQL注入获取系统权限、服务器解析漏洞并进行代码执行、文件包含漏洞等。

3. 核心的业务逻辑漏洞，包括但不限于能够大量获取利益，造成公司、用户的利益损失

• 高危（10-40）：

1. 严重的逻辑设计缺陷。包括但不限于无密码任意账号登陆、任意账号密码修改、绑定新手机号获取短信、绕过邮件验证直至获取对方帐号权限漏洞等。

2. 严重的敏感信息泄露。包括但不限于严重的SQL注入、任意文件包含读取、注册用户帐号重要个人信息（如身份证、银行卡号）任意读取等。包括但不限于绕过验证直接访问重要系统后台、核心系统弱口令、SSH弱口令，数据库弱口令等。

3. SSRF漏洞，可返回内网信息或权限。

• 中危（4—10）：

1. 需要交互才能获取用户身份信息的漏洞。包括存储型XSS等。

2. 普通逻辑设计缺陷。包括但不限于无限制短信的发送等。

3. 非重点产品线、利用难度较大的SQL注入漏洞等。

4. SSRF漏洞，无回显或部分回显，未能获取信息或权限。

5. 公司核心业务源码泄漏（github）等

• 低危（1-5）：

1. 一般信息泄露漏洞。包括但不限于路径泄露、SVN文件泄露、LOG文件泄露等。

2. 无法利用或者难以利用的漏洞，包括但不限于反射型XSS和只能弹自己的XSS。

3. 公司重要业务源码泄漏（github）等 

• 忽略（或奖励财宝宝存钱罐，挖财周边）：

1. 不涉及安全问题的bug。包括但不限于产品功能缺陷、页面乱码、样式混编等。

2. 无法重现的漏洞、不能直接体现漏洞的其他问题。包括但不限于纯属用户猜测的问题。如果是产品bug质量问题，没安全风险，奖励挖财周边产品。

3. CSRF类型暂时不收。

• 一级业务（应用系数10）：

网站及相关站点：

挖财主站：wacai.com

理财：8.wacai.com

用户中心：user.wacai.com

支付中心：pay.wacai.com

挖财基金：wacaijijin.com

钱堂教育：xuexi.wacai.com

APP：挖财宝、挖财记账理财、挖财基米等

• 二级业务（应用系数5）：

网站：

挖财财米：caimitech.com

其他：挖财旗下产品二级域名，挖财各产品公众号及自行开发接口，采用的第三方sdk服务，云服务器，cdn等

特别提示：由于挖财SRC平台是采用某开源系统进行修改，所以对SRC平台本身漏洞我们不提供现金奖励，积分最高不超过50。

我们更希望白帽子把测试重心放在挖财主营业务如门户、支付、充值、还款等重要业务场景。

原《挖财安全应急响应中心授权安全测试范围及流程v1.1》和《挖财安全应急响应中心漏洞评分标准v1.1》同时废止。