关于漏洞收录范围和测试相关问题

Q1: SSRF漏洞测试

Q2: 360核心业务范围

Q3: 反弹shell测试报备

Q4: 有哪些比较常见的红线行为？

A4：近期比较常见的违规行为有下面这些，请师傅们多多注意，如果审计发现相关行为带来严重影响，可能对您提交的漏洞做降级或扣除漏洞奖励，并保留追责权利。

遍历敏感信息：证明有危害即可，不要自行遍历敏感信息，交给审核师傅们去验证。
开扫描器：此外测试的时候请师傅们检查一下，不要挂扫描器，否则可能对业务产生影响。
向第三方泄露漏洞信息：请注意，请不要在任何情况下泄露漏洞测试过程中所获知的任何信息，漏洞信息对第三方披露请先联系SRC获得授权。轻易向熟悉的伙伴泄露你挖到的漏洞信息，也可能会增加业务风险，这是我们不能承受之重。
禁止利用漏洞非法获取其他人数据。

Q5：审核师傅们看报告时的痛点有哪些？

A5：提交报告时，一定要说明漏洞细节，这样有助于审核更快复现漏洞点，确认漏洞有效性

关于漏洞奖励

Q1: 360SRC奖励如何发放？

A1：漏洞确认有效，并经过奖励审核后，贡献值会直接计入账户，安全币（平台虚拟币）将在每周五中午12:00~14:00 由系统陆续发放到您的账户中，请注意及时查收。

Q2: 安全币如何兑换成现金奖励？多久到账？

A2：每月的1日~7日，您可以通过360SRC商城提交安全币兑换现金申请。审核人员会在8日~15日完成数据统计和费用申报，相关款项会在当月的最后一个工作日发放到您提交的账户中。为了避免款项支付存在异常，请您及时完善在360SRC平台的收款信息，并确认收款无误哦！

Q3: 漏洞奖励需要扣税或者我自己缴税吗？

A3：360SRC平台的漏洞奖励均为税后奖金，不需要扣除税款或自己额外缴税。