| 首页 > 新闻公告 > 公告详情
单个漏洞可获万元现金奖励!X·Safe计划评分标准及奖励公布
2020-08-25
ISC 2020互联网安全大会开展的如火如荼,观众们热情高涨。360SRC在此期间推X·Safe计划邀请白帽大大们参与,共同守护360安全。

计划目前涵盖360安全卫士、360杀毒、360手机卫士三大安全产品,核心客户端安全产品单个严重漏洞至少可获得1万元!
单排也快落,组队更无敌,一起来体验全新的的战场吧~





活动范围

360安全卫士、360杀毒、360手机卫士




漏洞评分标准及奖励

适用范围:360安全卫士、360杀毒



严重:¥10000 积分200
直接远程获取360安全卫士、360杀毒客户端权限的漏洞。包括但不限于远程任意命令执行、可利用的远程缓冲区溢出以及其它因逻辑问题导致的远程代码执行漏洞。


高危:¥2000-8000 积分20-150(利用条件复杂程度决定)

主动防御绕过,即执行高危动作后未出现拦截。高危动作包括但不限于修改启动项、替换系统命令、设置定时任务、破坏或删除卫士功能、致程序崩溃防御失效的操作等。

备注:高危动作不包括正常文件读取、截屏等行为。



中危:¥100-2000 积分1-20(利用条件复杂程度决定)

1、本地任意代码执行。包括但不限于本地可利用的堆栈溢出、本地提权、 文件关联的 DLL 劫持以及其它逻辑问题导致的本地代码执行漏洞。

备注:不包括以下几种情况:加载不存在的 DLL 文件、加载正常DLL未校验合法性、需要管理员权限操作手工拷贝DLL、需要用户大量交互以及基于KnownDLLs 缺陷所导致的 DLL 劫持等。

2、会影响用户正常使用场景的拒绝服务攻击。包括但不限于远程应用拒绝服务攻击、组件权限导致的本地拒绝服务漏洞等。

3、其他功能缺陷。包括但不限于客户端敏感信息明文存储传输、下载恶意文件未提示及其他类似问题。



低危:积分1-10

安全扫描的绕过,即静态免杀样本





漏洞评分标准及奖励

适用范围:360手机卫士



严重:¥10000 积分200
直接远程获取360手机卫士客户端权限的漏洞,包括但不限于可利用的远程缓冲区溢出以及其它因逻辑问题导致的远程代码执行漏洞。


高危:¥2000-8000 积分20-150(利用条件复杂程度决定)

1、本地代码执行,包括但不限于本地可利用的缓冲区溢出以及因其它逻辑问题导致的本地代码执行。

2、可泄露敏感信息的客户端XSS漏洞。

3、越权操作他人账号。


中危:¥100-2000 积分1-20

1、通过客户端逻辑下载恶意文件,伪造弹窗,绕过沙箱读取应用内隐私数据等。

2、需要用户交互的客户端XSS漏洞,包括但不限于存储型XSS,反射型XSS等。

3、功能缺陷:包括但不限于明文传输用户数据,全局文件读写导致的敏感数据泄露等



低危:积分1-10

1、拒绝服务

友情提示如有白帽大大评估漏洞价值超于规则价值,可与SRC小姐姐们协商,最终会根据漏洞的严重情况进行定价。无法证明存在危害或者无法提供POC、无凭据的主观猜测、公开平台可直接下载的样本以及断网情形下的测试不算哦~

随着业务线重心的调整,我们将会不断扩大接收范围,敬请期待~

之后我们会依旧给大家带来更多惊喜,更多奖项与福利,尽在360SRC。如对规则有疑问可戳运营小姐姐核桃(QQ:645045936)


360SRC保留对本活动的解释权与修改权

安全应急响应中心的奖励方案详情:

http://security.360.cn/News/news/id/22.html

 

360安全应急响应中心

微博:@360安全应急响应中心  

微信:360安全应急响应中心