阔知安全应急响应中心(CODEAGES Security Response Center)是阔知致力于维护健康的互联网生态环境,保障阔知产品和业务线的信息安全,促进与安全专家、互联网极客以及兴趣爱好者的合作与交流,而建立的漏洞收集及应急响应平台。本平台收集阔知公司各产品线(EduSoho、气球云、题库、资源库)及业务上存在的安全漏洞,同时,我们也希望借此平台加强与业内各界的安全合作,共同打造简单可依赖的教育互联网健康生态。

漏洞等级

【严重】
严重的敏感信息泄露,包括但不限于可以获取重要数据的 SQL 注入漏洞(如用户帐号密码)、源代码泄露以及任意文件读取和下载漏洞(如包含重要服务口令)等;
直接获取系统权限的漏洞,包括但不限于远程任意命令执行、代码执行、任意文件上传获取 webshell、缓冲区溢出、SQL注入获取系统权限等;
严重的逻辑设计漏洞,包括但不限于任意账号登陆、任意账号密码修改、支付绕过漏洞、以任意人身份敏感操作等;
远程直接导致业务拒绝服务的漏洞,包括但不限于服务和系统中的远程拒绝服务攻击漏洞;
大范围影响用户的漏洞,包含但不限于容易利用的存储型 XSS、CSRF等;
越权访问,包括但不限于绕过验证直接访问后台、后台登录弱口令、以及其他服务的弱口令等;
高风险的信息泄露,包括但不限于可以获取一般数据的 SQL 注入漏洞、源代码泄露以及任意文件读取和下载漏洞等。

【中等】
需要条件才能获取敏感信息(如cookie)的漏洞。包括但不限于反射型 XSS(包括反射型 DOM-XSS)、CSRF、普通业务的存储型 XSS;
普通的信息泄露,包括但不限于包括可以轻微数据的SQL注入和难以利用的SQL注入;
普通的越权操作以及设计缺陷和流程缺陷

【轻微】
URL跳转漏洞;
轻微的信息泄露,包括但不限于路径泄露、phpinfo、svn 等;
难以利用但又可能存在安全隐患的问题;

【忽略】
无关安全的BUG,包括但不限于网页乱码、网页无法打开、产品某功能无法使用等;
无法利用的漏洞,包括但不限于没有实际意义的扫描器漏洞报告(如 Web Server 的低版本)、Self-XSS、无敏感信息的 JSON Hijacking、无敏感操作的 CSRF(如收藏、非重要业务的普通个人资料修改等)、无意义的源码泄漏、内网 IP 地址/域名泄漏、401 基础认证钓鱼、程序路径信任问题、无敏感信息的 logcat 信息泄漏


提交规则
将漏洞报告,以邮件的方式发送到邮箱:security@edusoho.com ,需包括漏洞的详细说明、漏洞证明、修复方案,以及您的联系电话、QQ。
我们收到漏洞报告后,会第一时间与您取得联系,进行漏洞确认。
对于提交漏洞并且认可的用户将会获得奖励。