Android端：

包括不限于下表中的标准描述，部分漏洞级别判定受以下因素综合影响：

• 用户交互

• 说明：针对于移动应用的包括但不限于需要诱导用户点击链接、钓鱼email、诱导用户安装恶意应用等行为才能触发的安全漏洞，说明如下：

• a.远程：不接触用户手机，通过网络实现。常借助浏览器，IM软件，短信等发起攻击。

• b.本地：需要诱导用户手机安装恶意应用，或者借助adb命令、NFC、蓝牙等。

• c.弱交互（针对于诱导用户点击链接即可触发安全漏洞这类情况）。

• d.强交互（针对于诱导用户安装恶意应用、钓鱼邮件、2次及以上用户点击确认框、或者有危险提示等才可触发安全漏洞这类情况）。

• 攻击媒介

• 远程网络：可以通过网络远程利用的，可跨网段远程利用

• 局域网：可以通过相邻的网络进行利用，比如共享的物理（蓝牙、无线）或者逻辑（本地局域网）网络，进行漏洞利用

• 本地：需要在目标电脑操作系统本地完成利用的。通常需要攻击者登录本地系统，或者依赖用户交互执行恶意的本地文件来进行漏洞利用

• 触发条件

• 无：攻击者可自主完成整个攻击流程，不需要前提权限或者数据。

• 一定条件：需要一定权限或者数据才能完成攻击，比如：需要知道目标用户的ID、邮箱、手机号等前置条件，或者需要一定的初始权限。

• 较高条件：需要获得其他用户的账号控制权，或者管理员账号才能利用的。需要提前知道一些要求较高的信息，比如：完全无法猜解的物理路径、无法猜测的ID、或者需要遍历6位以上的ID等。

• 业务影响

• 功能重要程度：重要功能，例如核心APP中的业务功能（外卖，团购，点评等）

• 影响条目

• 巨量（>1000w）

• 大量（>10w）

• 少量（<10000）

• 平台活跃度

• 用户基数大于10000

• 用户基数小于10000

iOS端漏洞定级标准:  

• 包括不限于下表中的标准描述，部分漏洞级别判定受以下因素综合影响：

• 用户交互

• 说明：针对于移动应用的包括但不限于需要诱导用户点击链接、钓鱼email、诱导用户安装恶意应用等行为才能触发的安全漏洞，说明如下：

• a.远程：不接触用户手机，通过网络实现。常借助浏览器、IM软件、短信、UniversalLinks等发起攻击。

• b.本地：需要诱导用户手机安装恶意应用，或者通过URLScheme、NFC、蓝牙等。

• c.弱交互（针对于诱导用户点击链接即可触发安全漏洞这类情况）。

• d.强交互（针对于诱导用户安装恶意应用、钓鱼邮件、2次及以上用户点击确认框、或者有危险提示等才可触发安全漏洞这类情况）。

• 攻击媒介

• 远程网络：可以通过网络远程利用的，可跨网段远程利用

• 局域网：可以通过相邻的网络进行利用，比如共享的物理（蓝牙、无线）或者逻辑（本地局域网）网络，进行漏洞利用

• 本地：需要在目标电脑操作系统本地完成利用的。通常需要攻击者登录本地系统，或者依赖用户交互执行恶意的本地文件来进行漏洞利用

• 触发条件

• 无：攻击者可自主完成整个攻击流程，不需要前提权限或者数据。

• 一定条件：需要一定权限或者数据才能完成攻击，比如：需要知道目标用户的ID、邮箱、手机号等前置条件，或者需要一定的初始权限。

• 较高条件：需要获得其他用户的账号控制权，或者管理员账号才能利用的。需要提前知道一些要求较高的信息，比如：完全无法猜解的物理路径、无法猜测的ID、或者需要遍历6位以上的ID等。

• 业务影响

• 功能重要程度：重要功能，例如核心APP中的业务功能（外卖，团购，点评等）

• 影响条目

• 巨量（>1000w）

• 大量（>10w）

• 少量（<10000）

• 平台活跃度

• 用户基数大于10000

• 用户基数小于10000