我们深知,安全研究人员挖掘漏洞需要付出精力和时间。如果您能够积极帮助厂商修复漏洞,也理应获得回报。为此,360安全漏洞响应平台推出了漏洞奖励方案,以示对漏洞报告者的诚挚谢意。
致谢对象:在漏洞修复前提交漏洞信息,并经过360安全漏洞响应平台评估确认的漏洞报告者,都将列入360安全公告致谢列表;
获奖资格:如果同一漏洞或同一问题漏洞的不同表现形式在漏洞修复前由多位漏洞报告者提交,在致谢时,所有报告者都将列入致谢列表。但是在进行奖励时,我们会以最先提交并清晰表述、重现此漏洞问题的研究者为唯一受奖励者,漏洞奖励标准以提交漏洞时的网站公告为准。
一、客户端奖励机制
漏洞类型 | 360核心客户端产品 | 360重要客户端产品 |
---|---|---|
远程代码执行漏洞 | ¥10,000-¥500 | ¥5,000-¥300 |
权限提升漏洞 | ¥5,000-¥300 | ¥2,500-¥200 |
拒绝服务漏洞 | ¥2,000-¥100 | ¥1,000-¥100 |
绕过主动防御或挂马防护 | ¥2,000-¥100 | ¥1,000-¥100 |
说明:为了更充分体现漏洞报告价值,我们将细化每种漏洞类型的风险系数,使漏洞奖励与攻击难易程度和影响范围等因素挂钩,并据此调整奖金范围。这样可以让您提交的漏洞获得更准确的价值评估和奖金额度。
360核心客户端产品:360安全卫士、360杀毒、360安全/极速浏览器
360重要客户端产品:360安全桌面、360云盘、360手机助手、360保险箱、360硬件大师、360压缩、360企业版
二、移动端奖励机制
漏洞类型 | 360核心移动端产品 | 360重要移动端产品 |
---|---|---|
远程代码执行漏洞 | ¥10,000-¥3,000 | ¥3,000-¥1,000 |
本地跨应用功能漏洞 | ¥3,000-¥1,000 | ¥1,000-¥500 |
信息泄漏漏洞 | ¥1,000-¥500 | ¥500-¥300 |
拒绝服务漏洞 | 1 - 20积分 | 1 - 10积分 |
核心产品:手机卫士、手机助手等
【严重】现金奖励 ¥10,000 –¥1,000 积分奖励 200 - 300
远程代码执行漏洞
漏洞说明:
属于360移动客户端产品的自身开发功能的漏洞(不含Android/IOS系统漏洞).
以远程方式获取移动客户端权限执行任意命令和代码,漏洞场景包括但不仅限于远程端口连接、浏览网页和关联文件打开等远程利用方式。
【高】现金奖励 ¥3,000 - ¥1,000 积分奖励 50 - 150
本地跨应用功能漏洞
漏洞说明:
属于360移动客户端产品的自身开发功能的漏洞(不含Android/IOS系统漏洞).
第三方应用可以跨应用调用移动客户端产品的功能完成一些高危操作,包括但不仅限于文件读写,短信读写,客户端自身数据读写等。
【中】现金奖励 ¥1,000 - ¥100 积分奖励 10-20
信息泄露漏洞
漏洞说明:
导致360移动客户端敏感信息泄露的漏洞(不含Android/IOS系统漏洞),漏洞场景包括但不仅限于调试信息,逻辑漏洞,功能访问等导致的信息泄露。
敏感信息包括但不仅限于用户名、密码、密钥、手机串号等移动客户端产品自身重要数据和隐私信息。
【低】积分奖励 1 - 20积分
拒绝服务漏洞
漏洞说明:
导致360移动客户端拒绝服务的漏洞(不含Android/IOS系统漏洞),利用该漏洞可以直接结束移动客户端进程。
漏洞利用场景包括但不仅限于跨应用调用、远程浏览网页等本地或远程利用方法。
三、Web/服务端安全漏洞奖励方案:
Web端产品安全漏洞奖励设立三种奖励方案,分别为常规漏洞奖励,专项漏洞活动奖励,月度前三排行榜奖励。
1、常规漏洞奖励
【高】现金奖励 ¥3,000 - ¥1,000 积分奖励 50 - 150
要求:含成功拿到服务器权限或者getshell,大量敏感信息泄露,对服务器造成严重后果风险的
1, SQL/XML注入漏洞读出大量信息
2, PHP远程代码执行
3, 文件包含
4, OS命令执行
5, 任意文件上传漏洞
【中】现金奖励 ¥1,000 - ¥100 积分奖励 10-20
要求:少量敏感信息泄露,但不会造成严重后果风险的
1, 确定是SQL注入,但无敏感信息泄露的
2, 支付漏洞导致可直接操作账户数据
3, 存储型XSS,包括但不限于盲打后台
4, 有上述高危漏洞,但现阶段无法利用获取大量敏感信息的
5, SSRF类型漏洞可探测内网等
6, 会话管理漏洞
【低】积分奖励 1 - 15积分
要求:有轻微信息泄露,不构成对服务器及业务直接造成影响的漏洞
1, 反射性XSS
2, 服务器安全配置错误
3, 管理后台开放
4, 权限绕过
5, 解析漏洞
6, URL跳转漏洞等
7, 无限制短信接口
8, 存在可被暴力破解接口
9, 普通信息泄露,普通越权
四、奇酷手机安全漏洞奖励方案:
为了保障奇酷手机OS开发安全,360安全团队协助奇酷在操作系统及应用开发上提供必要的安全性防 范措施,全面提供漏洞的跟踪处理及预警等安全服务,确保安全漏洞在第一时间被修复,持续为奇酷手机用户提供一个安全的android手机操作系统环境现在360安全响应中心(security.360.cn)对外发布奇酷手机安全漏洞奖励计划,
发布日期正式生效。
另此办法适用于奇酷手机0S,奇虎360,360旗下公司漏洞响应、处理、修复、披露过程细则。
该奖励规则将会不断地进行补充和完善。感谢白帽子们关注360产品安全作出的努力。
涉及到第三方合作厂商漏洞
由于360旗下合作厂商,如与360合作的游戏产品,360云主机用户,360游戏云主机用户,目前只给予积分奖励,暂无纳入现金奖励。