| 首页 > 新闻公告 > 公告详情
移动APP漏洞奖励升级
2022-09-29


随着移动互联网产业的高速发展,智能手机的全面普及,移动APP已经无处不在。移动APP的应用安全、数据安全、业务安全的需求也越来越迫切。即日起360安全应急响应中心移动APP产品奖励升级,核心APP产品单个漏洞基础奖励最高可达1.5w元!

移动APP漏洞评分标准


适用范围



360移动APP产品

详情请查看产品列表

https://security.360.cn/Product/product


漏洞评分奖励及标准

严重

现金奖励

¥5,000 - ¥15,000

积分奖励

100 ~ 200积分

漏洞说明

1、远程代码执行,远程以App权限执行任意代码。包括但不限于具备完整利用链的内存破坏漏洞、利用动态库覆写或其它业务逻辑上问题导致的远程任意代码执行;

2、远程应用静默安装,远程或弱交互方式实现任意应用的静默安装。包括但不限于浏览器点击、扫码等方式;

3、影响范围广的逻辑漏洞,包括但不限于核心账户体系的账密校验逻辑问题导致任意用户登录。

高危

现金奖励

¥3,000 - ¥15,000

积分奖励

100 ~ 1500积分

漏洞说明

1、本地代码执行,本地以App权限执行任意代码,包括但不限于具备完整利用链的内存破坏漏洞、利用动态库覆写或其它业务逻辑上问题导致的远程任意代码执行;

2、本地提权漏洞,本地提权至App权限执行敏感操作、包括但不限于打开App任意保护组件、静默安装任意应用、修改App安全设置以及短信读写,客户端沙箱数据读写等漏洞;

3、核心业务敏感数据/信息泄露,包括但不限于重要用户信息、订单信息、任意文件读取等。

中危

现金奖励:

¥1000 - ¥3,000

积分奖励:

50 - 100积分

漏洞说明:

1、需交互的对用户产生危害的漏洞,普通越权操作,包括但不限于可查询其它少量用户数据的越权操作,任意组件调用等漏洞;

2、本地任意文件读取,本地以App权限读取应用内的沙箱文件;

3、一般业务敏感数据/信息泄露,包括但不限于重要用户信息、订单信息、任意文件读取等。

4、应用破解类漏洞,包括但不限于应用内购、VIP功能破解、账号权限绕过等漏洞。

低危

积分奖励:

1 - 50积分

漏洞说明:

1、可造成实际危害的url跳转等风险、危害较小的安全问题;

2、远程拒绝服务漏洞,包括但不限于攻击接口、页面导致的拒绝服务、APP远程拒绝服务等。 指定任意用户或手机号无限制的短信轰炸问题;

3、其它造成低危害的漏洞,例如:管理后台开放、解析漏洞、存在可被暴力破解接口等;

4、需要物理接触或在特定场景下需用户配合才能造成的用户信息泄漏相关漏洞。


注:APP中API接口漏洞

按照web漏洞奖励标准评估。

友情提示:

若发现有传播如破解VIP权限安装包等威胁情报同样可反馈至360SRC。

若有白帽评估漏洞价值超于规则价值,可与运营协商,最终会根据漏洞的严重情况进行定价。无法证明存在危害或者无法提供POC、无凭据的主观猜测、公开平台可直接下载的样本以及断网情形下的测试不算哦~

如对规则有疑问可戳运营(wx:haruqx、Augety1823)