360SRC官网:https://security.360.cn/
活动简介
双十一马上来了,
不知道各位白帽大大的钱包还好吗?
不用担心,360SRC为大家准备了全新的战场!
参与移动端应用专项测试,共同守护360安全,
更有高额奖励拿到手软~
活动时间
2021.10.25——2021.11.07
活动详情
一、活动奖励
活动范围内首个提交核心业务高危及以上有效漏洞额外奖励2000元;
活动范围内提交核心业务中危及以上有效漏洞可获得2倍现金奖励;
活动范围内提交一般业务及边缘业务高危及以上级别有效漏洞可获得2倍现金奖励。
二、活动范围
移动端应用
1、核心业务
360浏览器、360手机助手、360手机卫士、360清理大师、360家庭防火墙、360智能摄像机、推推(原360家)、安心家庭
2、一般业务
快剪辑、360游戏大厅、360行车助手、360扫地机器人、360儿童卫士、360账号卫士、手心输入法、
360AI音箱、WIFI放心连、亿方云、安全客、360免费WIFI、360商城、360你财富、360借条、360保险、
花椒、花吱、鲁大师、快路况、坦克营地、360安全云盘
3、边缘业务
缤纷桌面壁纸、快扫描、顽皮橙旅行、天气大师、360天气、分身大师、防拍大师、番茄快搜
[注]活动范围仅限APP和APP连接的云端API,Android及IOS漏洞均收录。
三、漏洞评分标准
▲ 严重
1、远程代码执行,远程以App权限执行任意代码。
包括但不限于具备完整利用链的内存破坏漏洞、利用动态库覆写或其它业务逻辑上问题导致的远程任意代码执行。
2、远程应用静默安装,远程或弱交互方式实现任意应用的静默安装。
包括但不限于浏览器点击、扫码等方式。
3、可获取核心服务器权限。
包括但不限于上传webshell、任意代码执行、命令执行等漏洞。
4、影响范围广的逻辑漏洞。
包括但不限于核心账户体系的账密校验逻辑问题导致任意用户登录。
▲ 高危
1、本地代码执行,本地以App权限执行任意代码。
包括但不限于具备完整利用链的内存破坏漏洞、利用动态库覆写或其它业务逻辑上问题导致的远程任意代码执行。
2、本地提权漏洞,本地提权至App权限执行敏感操作。
包括但不限于打开App任意私有组件、静默安装任意应用、修改App安全设置以及短信读写、客户端沙箱数据读写等漏洞。
3、核心业务的逻辑漏洞。
包括但不限于具有一定影响面的垂直越权、水平越权、支付逻辑绕过等。核心业务敏感数据/信息泄露,
包括但不限于重要用户信息、订单信息、任意文件读取等。
▲ 中危
1、需交互的对用户产生危害的漏洞。
包括但不限于一般页面存储型XSS、核心业务敏感操作的CSRF等。普通越权操作,包括但不限于可查询其它少量用户数据的越权操作,任意组件调用等漏洞。
2、普通信息泄漏。
包括但不限于Github泄漏员工或内部系统的数据库密码、邮箱密码等。其它造成中度影响的漏洞,例如:没有敏感信息的SQL注入等。
▲ 低危
1、在特殊条件下才能获取用户信息的安全漏洞。
包括但不限于反射XSS等。可造成实际危害的url跳转等风险、危害较小的安全问题。
2、远程拒绝服务漏洞。
包括但不限于攻击接口、页面导致的拒绝服务、APP远程拒绝服务等。指定任意用户或手机号无限制的短信轰炸问题。
3、其它造成低危害的漏洞。
例如:管理后台开放、解析漏洞、存在可被暴力破解接口等。
四、友情提示
- 仅收录最新版本客户端漏洞。
- 如有白帽大大评估漏洞价值超于规则价值,可与SRC小姐姐们协商,最后会根据漏洞的严重情况进行定价。
- 无法证明存在危害或者无法提供POC、无凭据的主观猜测、公开平台可直接下载的样本以及断网情形下的测试不算哦~
- 随着业务线重心的调整,我们将会不断扩大接收范围,敬请期待~
- 之后我们会依旧给大家带来更多惊喜,更多奖项与福利,尽在360SRC。