奖励方案 V

我们深知,安全研究人员挖掘漏洞需要付出精力和时间。如果您能够积极帮助厂商修复漏洞,也理应获得回报。为此,360安全应急响应平台推出了漏洞奖励方案,以示对漏洞报告者的诚挚谢意。

致谢对象: 在漏洞修复前提交漏洞信息,并经过360安全应急响应平台评估确认的漏洞报告者,都将列入360安全公告致谢列表;

获奖资格: 如果同一漏洞或同一问题漏洞的不同表现形式在漏洞修复前由多位漏洞报告者提交,在致谢时,所有报告者都将列入致谢列表。但是在进行奖励时,我们会以最先提交并清晰表述、重现此漏洞问题的研究者为唯一受奖励者,漏洞奖励标准以提交漏洞时的网站公告为准。

涉及到第三方合作厂商漏洞。如与360合作的游戏产品,360云主机用户,360游戏云主机用户,目前只给予积分奖励,暂无纳入现金奖励。

  • web/服务端
  • 移动端
  • 客户端

现金奖励 ¥1,000 - ¥3,000 积分奖励 50 - 150积分

要求:含成功拿到服务器权限或者getshell,大量敏感信息泄露,对服务器造成严重后果风险的

1, SQL/XML注入漏洞读出大量信息
2, PHP远程代码执行
3, 文件包含
4, OS命令执行
5, 任意文件上传漏洞

现金奖励 ¥100 - ¥1,000 积分奖励 10 - 20积分

要求:少量敏感信息泄露,但不会造成严重后果风险的

1, 确定是SQL注入,但无敏感信息泄露的
2, 支付漏洞导致可直接操作账户数据
3, 存储型XSS,包括但不限于盲打后台
4, 有上述高危漏洞,但现阶段无法利用获取大量敏感信息的
5, SSRF类型漏洞可探测内网等
6, 会话管理漏洞

积分奖励 1 - 15积分

要求:有轻微信息泄露,不构成对服务器及业务直接造成影响的漏洞

1, 反射性XSS
2, 服务器安全配置错误
3, 管理后台开放
4, 权限绕过
5, 解析漏洞
6, URL跳转漏洞等
7, 无限制短信接口
8, 存在可被暴力破解接口
9, 普通信息泄露,普通越权