360移动APP产品

详情请查看产品列表

https://security.360.cn/Product/product

漏洞评分奖励及标准

严重

基础安全币：

1,000 ～2,000

漏洞说明：

1、远程代码执行，远程以App权限执行任意代码。包括但不限于具备完整利用链的内存破坏漏洞、利用动态库覆写或其它业务逻辑上问题导致的远程任意代码执行；

2、远程应用静默安装，远程或弱交互方式实现任意应用的静默安装。包括但不限于浏览器点击、扫码等方式；

3、影响范围广的逻辑漏洞，包括但不限于核心账户体系的账密校验逻辑问题导致任意用户登录。

高危

基础安全币：

600 ～ 800

漏洞说明：

1、本地代码执行，本地以App权限执行任意代码，包括但不限于具备完整利用链的内存破坏漏洞、利用动态库覆写或其它业务逻辑上问题导致的远程任意代码执行；

2、本地提权漏洞，本地提权至App权限执行敏感操作、包括但不限于打开App任意保护组件、静默安装任意应用、修改App安全设置以及短信读写，客户端沙箱数据读写等漏洞；

3、核心业务敏感数据/信息泄露，包括但不限于重要用户信息、订单信息、任意文件读取等。

中危

基础安全币：

200 ～ 400

漏洞说明：

1、需交互的对用户产生危害的漏洞，普通越权操作，包括但不限于可查询其它少量用户数据的越权操作，任意组件调用等漏洞；

2、本地任意文件读取，本地以App权限读取应用内的沙箱文件；

3、一般业务敏感数据/信息泄露，包括但不限于重要用户信息、订单信息、任意文件读取等。

4、应用破解类漏洞，包括但不限于应用内购、VIP功能破解、账号权限绕过等漏洞。

低危

基础安全币：

5～20

漏洞说明：

1、可造成实际危害的url跳转等风险、危害较小的安全问题；

2、远程拒绝服务漏洞，包括但不限于攻击接口、页面导致的拒绝服务、APP远程拒绝服务等。 指定任意用户或手机号无限制的短信轰炸问题；

3、其它造成低危害的漏洞，例如：管理后台开放、解析漏洞、存在可被暴力破解接口等；

4、需要物理接触或在特定场景下需用户配合才能造成的用户信息泄漏相关漏洞。

【注：漏洞安全币=漏洞基础安全币*业务系数  1安全币=5元】

注：APP中API接口漏洞

按照web漏洞奖励标准评估。

友情提示：

若发现有传播如破解VIP权限安装包等威胁情报同样可反馈至360SRC。

若有白帽评估漏洞价值超于规则价值，可与运营协商，最终会根据漏洞的严重情况进行定价。无法证明存在危害或者无法提供POC、无凭据的主观猜测、公开平台可直接下载的样本以及断网情形下的测试不算哦~

如对规则有疑问可戳运营（wx：haruqx、Augety1823）