电商（大型）

中危最低奖金 ￥200

1、普通信息泄露。包括但不仅限于客户端明文密码存储。
2、需交互才能获取用户身份信息的漏洞。包括但不限于反射型 XSS、JSON Hijacking、重要操作的 CSRF、普通业务的存储型XSS。

低危最低奖金 ￥45

1、轻微信息泄露。包括但不仅限于路径信息泄露、svn信息泄露、phpinfo、异常信息泄露。
2、部分对业务只能造成轻微影响的漏洞，包括但不仅限于部分反射型 XSS（包括反射型 DOM-XSS）、普通CSRF、URL跳转漏洞。

无效奖金￥0

无效报告：
1、不涉及安全问题的 bug。包括但不仅限于产品功能缺陷、页面乱码、样式混乱。
2、无法利用的漏洞。包括但不仅限于 Self-XSS。
3、不能重现的漏洞。包括但不仅限于经京东商城安全应急响应中心专员确认无法重现的漏洞。
4、纯属用户猜测的问题。
5、非京东集团业务漏洞。 
最终解释权归京东商城安全应急响应中心所有 

注意事项

评分标准补充说明：
1、评分标准仅针对京东集团的业务。目前京东集团的域名包括但不限于（*.3.cn、*.360buy.com、*.jd.com、*.jcloud.com、*.wanggou.com、*.wangyin.com、*.yixun.com），京东集团客户端包括所有通过官方途径发布的客户
端程序；
2、提交在其他漏洞披露平台已提交的漏洞不计分。
3、开放平台的第三方应用漏洞不计分；
4、同一漏洞最早提交者得分。
5、同一漏洞导致的多个利用点按照级别最高的奖励执行如：同一个 JS引起的多个 XSS、漏洞、同一个发布系统引起的多个页面的 XSS漏洞、框架导致的整站 XSS/CSRF漏洞、泛域名解析产生的多个 XSS漏洞等等。
6、以漏洞测试为借口,利用漏洞进行损害用户利益、影响业务正常运作、修复前公开、盗取用户数据等行为的,将不会计分,同时京东保留采取进一步法律行动的权利。
7、移动终端系统导致的通用型漏洞，仅给首个漏洞报告者计分，其它产品同个漏洞均不再另外计分。