阔知安全应急响应中心（CODEAGES Security Response Center）是阔知致力于维护健康的互联网生态环境，保障阔知产品和业务线的信息安全，促进与安全专家、互联网极客以及兴趣爱好者的合作与交流，而建立的漏洞收集及应急响应平台。本平台收集阔知公司各产品线（EduSoho、气球云、题库、资源库）及业务上存在的安全漏洞，同时，我们也希望借此平台加强与业内各界的安全合作，共同打造简单可依赖的教育互联网健康生态。

漏洞等级

【严重】
严重的敏感信息泄露，包括但不限于可以获取重要数据的 SQL 注入漏洞（如用户帐号密码）、源代码泄露以及任意文件读取和下载漏洞（如包含重要服务口令）等；
直接获取系统权限的漏洞，包括但不限于远程任意命令执行、代码执行、任意文件上传获取 webshell、缓冲区溢出、SQL注入获取系统权限等；
严重的逻辑设计漏洞，包括但不限于任意账号登陆、任意账号密码修改、支付绕过漏洞、以任意人身份敏感操作等；
远程直接导致业务拒绝服务的漏洞，包括但不限于服务和系统中的远程拒绝服务攻击漏洞；
大范围影响用户的漏洞，包含但不限于容易利用的存储型 XSS、CSRF等；
越权访问，包括但不限于绕过验证直接访问后台、后台登录弱口令、以及其他服务的弱口令等；
高风险的信息泄露，包括但不限于可以获取一般数据的 SQL 注入漏洞、源代码泄露以及任意文件读取和下载漏洞等。

【中等】
需要条件才能获取敏感信息（如cookie）的漏洞。包括但不限于反射型 XSS（包括反射型 DOM-XSS）、CSRF、普通业务的存储型 XSS；
普通的信息泄露，包括但不限于包括可以轻微数据的SQL注入和难以利用的SQL注入；
普通的越权操作以及设计缺陷和流程缺陷

【轻微】
URL跳转漏洞；
轻微的信息泄露，包括但不限于路径泄露、phpinfo、svn 等；
难以利用但又可能存在安全隐患的问题；

【忽略】
无关安全的BUG，包括但不限于网页乱码、网页无法打开、产品某功能无法使用等；
无法利用的漏洞，包括但不限于没有实际意义的扫描器漏洞报告（如 Web Server 的低版本）、Self-XSS、无敏感信息的 JSON Hijacking、无敏感操作的 CSRF(如收藏、非重要业务的普通个人资料修改等)、无意义的源码泄漏、内网 IP 地址/域名泄漏、401 基础认证钓鱼、程序路径信任问题、无敏感信息的 logcat 信息泄漏

提交规则
将漏洞报告，以邮件的方式发送到邮箱：security@edusoho.com ，需包括漏洞的详细说明、漏洞证明、修复方案，以及您的联系电话、QQ。
我们收到漏洞报告后，会第一时间与您取得联系，进行漏洞确认。
对于提交漏洞并且认可的用户将会获得奖励。