移动端应用专项测试新上线 | 快来领取你的双十一购物基金!
双十一马上来了
不知道各位白帽大大的钱包还好吗?
不用担心,360SRC为大家准备了全新的战场
参与移动端应用专项测试,共同守护360安全
更有高额奖励拿到手软~
# 活动范围 #
移动端应用
核心业务
360浏览器、360手机助手、360手机卫士、360清理大师、
360家庭防火墙、360智能摄像机、推推(原360家)、安心家庭
一般业务
快剪辑、360游戏大厅、360行车助手、360扫地机器人、360儿童卫士、
360账号卫士、手心输入法、360AI音箱、WIFI放心连、亿方云、安全客、
360免费WIFI、360商城、360你财富、360借条、360保险、花椒、花吱、
鲁大师、快路况、坦克营地、360安全云盘、
边缘业务
缤纷桌面壁纸、快扫描、顽皮橙旅行、天气大师、
360天气、分身大师、防拍大师、番茄快搜、
[注]活动范围仅限APP和APP连接的云端API,Android及IOS漏洞均收录。
# 活动奖励 #
2021.10.25——2021.11.07
# 漏洞评分标准 #
▲严重:
1、远程代码执行,远程以App权限执行任意代码。包括但不限于具备完整利用链的内存破坏漏洞、利用动态库覆写或其它业务逻辑上问题导致的远程任意代码执行。
2、远程应用静默安装,远程或弱交互方式实现任意应用的静默安装。包括但不限于浏览器点击、扫码等方式。
3、可获取核心服务器权限。包括但不限于上传webshell、任意代码执行、命令执行等漏洞。
4、影响范围广的逻辑漏洞。包括但不限于核心账户体系的账密校验逻辑问题导致任意用户登录。
▲ 高危:
1、本地代码执行,本地以App权限执行任意代码。包括但不限于具备完整利用链的内存破坏漏洞、利用动态库覆写或其它业务逻辑上问题导致的远程任意代码执行。
2、本地提权漏洞,本地提权至App权限执行敏感操作。包括但不限于打开App任意私有组件、静默安装任意应用、修改App安全设置以及短信读写、客户端沙箱数据读写等漏洞。
3、核心业务的逻辑漏洞。包括但不限于具有一定影响面的垂直越权、水平越权、支付逻辑绕过等。核心业务敏感数据/信息泄露,包括但不限于重要用户信息、订单信息、任意文件读取等。
▲ 中危:
1、需交互的对用户产生危害的漏洞。包括但不限于一般页面存储型XSS、核心业务敏感操作的CSRF等。普通越权操作,包括但不限于可查询其它少量用户数据的越权操作,任意组件调用等漏洞。
2、普通信息泄漏。包括但不限于Github泄漏员工或内部系统的数据库密码、邮箱密码等。其它造成中度影响的漏洞,例如:没有敏感信息的SQL注入等。
▲ 低危:
1、在特殊条件下才能获取用户信息的安全漏洞。包括但不限于反射XSS等。可造成实际危害的url跳转等风险、危害较小的安全问题。
2、远程拒绝服务漏洞。包括但不限于攻击接口、页面导致的拒绝服务、APP远程拒绝服务等。指定任意用户或手机号无限制的短信轰炸问题。
3、其它造成低危害的漏洞。例如:管理后台开放、解析漏洞、存在可被暴力破解接口等。
# 友情提示 #
如有白帽大大评估漏洞价值超于规则价值
可与SRC小姐姐们协商
最终会根据漏洞的严重情况进行定价
无法证明存在危害或者无法提供POC、
无凭据的主观猜测、
公开平台可直接下载的样本
以及断网情形下的测试不算哦~
随着业务线重心的调整,我们将会不断扩大接收范围,敬请期待~
之后我们会依旧给大家带来更多惊喜,更多奖项与福利,尽在360SRC。
360SRC保留对本活动的解释权与修改权