奖励方案
V
我们深知,安全研究人员挖掘漏洞需要付出精力和时间。如果您能够积极帮助厂商修复漏洞,也理应获得回报。为此,360安全应急响应平台推出了漏洞奖励方案,以示对漏洞报告者的诚挚谢意。
致谢对象: 在漏洞修复前提交漏洞信息,并经过360安全应急响应平台评估确认的漏洞报告者,都将列入360安全公告致谢列表;
获奖资格: 如果同一漏洞或同一问题漏洞的不同表现形式在漏洞修复前由多位漏洞报告者提交,在致谢时,所有报告者都将列入致谢列表。但是在进行奖励时,我们会以最先提交并清晰表述、重现此漏洞问题的研究者为唯一受奖励者,漏洞奖励标准以提交漏洞时的网站公告为准。
涉及到第三方合作厂商漏洞。如与360合作的游戏产品,360云主机用户,360游戏云主机用户,目前只给予积分奖励,暂无纳入现金奖励。
1.直接获取核心服务器权限的漏洞,包括但不限于上传Webshell、任意代码执行、远程命令执行等。
2.直接导致严重的信息泄露漏洞,包括但不限于重要数据库的SQL注入、系统权限控制不严格等导致的敏感数据泄露漏洞等。
3.直接导致严重影响的逻辑漏洞,包括但不限于核心账户体系的账密校验逻辑、支付逻辑漏洞等。
1、重要业务敏感数据信息泄露漏洞,包括但不限于重要用户信息、订单信息、数据文件信息等。
2、重要业务的逻辑漏洞,包括但不限于权限绕过等。
3、不需交互的重点业务漏洞,包括但不限于文件遍历、任意文件包含、任意文件读取等。
4、包含重要业务敏感信息的非授权访问,包括但不仅限于绕过认证直接访问管理后台、后台弱密码、可直接获取大量内网敏感信息的SSRF等。
1、不需交互对用户产生危害的安全漏洞,包括但不限于一般页面存储型XSS等。
2、普通信息泄露漏洞,包括但不限于用户信息泄露和业务敏感信息泄露等。
3、普通的逻辑设计缺陷和流程缺陷,包括但不限于越权查看非核心系统的订单信息、记录等。
4、其他造成中度影响的漏洞,例如:没有敏感信息的SQL注入、无法回显的SSRF漏洞等。
1、在特殊条件下才能获取用户信息的安全漏洞,包括但不限于反射XSS等。
2、轻微信息泄露,包括但不限于服务器物理路径、phpinfo、边缘系统文件、本地日志等。
3、可能存在安全隐患但利用成本很高的漏洞,包括但不限于需要用户连续交互的敏感安全漏洞。
4、难以利用但又可能存在安全隐患的问题,包括但不限于可能引起传播和利用的 Self-XSS、非重要的敏感操作 CSRF等。
5、其他造成低危害的漏洞,例如:管理后台开放、解析漏洞、存在可被暴力破解接口等。
Copyright©2005-2018 360.CN All Rights Reserved 360安全中心
京公网安备 11000002000006号
