security
X·Safe计划
专项活动
360安全卫士极速版 360杀毒 360安全卫士团队版 360手机卫士
360安全浏览器 360企业安全云 360加固保 360安全卫士
参与X·Safe计划
活动时间:长期有效
活动范围:X·Safe计划产品客户端
漏洞标题格式:【X·Safe计划+漏洞标题】
备注:未按规定格式提交不享受该计划奖励
360 Security Response Center
漏洞评分标准
适用范围
360安全浏览器【新增】
严重
2000安全币起
在正常浏览过程中以用户权限在底层平台上运行任意代码。
包括但不限于由于内存损坏导致的浏览器进程被恶意网站所控制等。
高危
300~1000安全币
在其他来源的上下文中执行任意代码,或者通过其他方式冒充其他来源。
包括但不限于绕过同源策略使其可以在任意来源上下文执行脚本,由于渲染进程或GPU内存损坏导致的,可以在沙箱范围内执行任意代码等。
中危
150~300安全币
1、攻击者通过漏洞可以读取或者修改有限的信息,这些行为本身是无害的,但是与其他漏洞结合起来使用可能造成有害。包括可能被潜在内存损坏利用的关键信息泄漏,或者可能被攻击者窃取的敏感用户信息。
2、其他功能缺陷。包括但不限于敏感信息明文传输、及其他类似问题。
低危
1~30安全币
一些在极端特定场景或者影响范围非常有限的软件漏洞,或其他危害较低的软件缺陷。
【备注:Chrome内核有效漏洞仅收录公开超过七天内未修复漏洞,360安全浏览器不包括360极速浏览器。】
适用范围
360加固保
严重
2000安全币起
完整脱掉被最新版加固保加固的apk,包括DEX文件脱壳并VMP修复、so文件修复可实现对原程序代码的分析。
高危
300~1000安全币
(利用条件复杂程度决定)
绕过最新版加固后apk签名校验功能,实现对代码的修改并正常运行。
低危
(利用条件复杂程度决定)
1. 脱掉最新版加固保加固APK的libjiagu.so文件的外壳,并还原成完整so文件;
2. 绕过加固保相关保护功能的情报。
适用范围
360企业安全云【新增】
360杀毒、360安全卫士极速版
360安全卫士、360安全卫士团队版
严重
2000安全币起
直接远程获取企业安全云、360安全卫士、360杀毒客户端权限的漏洞。包括但不限于远程任意命令执行、可利用的远程缓冲区溢出以及其它因逻辑问题导致的远程代码执行漏洞。
高危
300~1000安全币
主动防御绕过,即执行高危动作后未出现拦截。高危动作包括但不限于修改启动项、替换系统命令、设置定时任务、破坏或删除卫士功能、致程序崩溃防御失效的操作等。
备注:主动防御绕过需在联网且开启晶核的模式下;高危动作不包括正常文件读取、截屏等行为。
中危
150~300安全币
1、本地任意代码执行。
包括但不限于本地可利用的堆栈溢出、本地提权、 文件关联的 DLL 劫持以及其它逻辑问题导致的本地代码执行漏洞。
备注:不包括以下几种情况:
加载不存在的 DLL 文件、加载正常DLL未校验合法性、需要管理员权限操作手工拷贝DLL、需要用户大量交互以及基于KnownDLLs 缺陷所导致的 DLL 劫持等。
2、会影响用户正常使用场景的拒绝服务攻击。包括但不限于远程应用拒绝服务攻击、组件权限导致的本地拒绝服务漏洞等。
3、其他功能缺陷。包括但不限于客户端敏感信息明文存储传输、下载恶意文件未提示及其他类似问题。
低危
1~30安全币
安全扫描的绕过,即静态免杀样本;或其他危害较低的软件缺陷。
适用范围
360手机卫士
严重
2000安全币起
直接远程获取360手机卫士客户端权限的漏洞,包括但不限于可利用的远程缓冲区溢出以及其它因逻辑问题导致的远程代码执行漏洞。
高危
300-1000安全币
(利用条件复杂程度决定)
1、本地代码执行,包括但不限于本地可利用的缓冲区溢出以及因其它逻辑问题导致的本地代码执行。
2、可泄露敏感信息的客户端XSS漏洞。
3、越权操作他人账号。
低危
1-30安全币
拒绝服务。
【注:1安全币=5元】
360 Security Response Center
友情提示
如有白帽评估漏洞价值超于规则价值,可与运营协商,最终会根据漏洞的严重情况进行定价。无法证明存在危害或者无法提供POC、无凭据的主观猜测、公开平台可直接下载的样本以及断网情形下的测试不算哦~
随着业务线重心的调整,我们将会不断扩大接收范围,敬请期待~
之后我们会依旧给大家带来更多惊喜,更多奖项与福利,尽在360SRC。
如对规则有疑问可戳运营小姐姐(wx:haruqx、Augety1823)
360 Security Response Center