活动|360SRC 移动APP漏洞奖励升级!

阅读量347130

发布时间 : 2022-09-30 17:00:33

 

活动简介

随着移动互联网产业的高速发展,智能手机的全面普及,移动APP已经无处不在。移动APP的应用安全、数据安全、业务安全的需求也越来越迫切。即日起360安全应急响应中心移动APP产品奖励升级,核心APP产品单个漏洞基础奖励最高可达1.5w元!

 

活动时间

2022年9月29日起

 

活动地点

https://security.360.cn/

 

主办方

360安全应急响应中心

 

移动APP评分新标准

适用范围

360移动APP产品
详情请查看产品列表👇
https://security.360.cn/Product/product

漏洞评分标准及奖励

严重
现金奖励:
¥5,000 – ¥15,000
积分奖励:
100 ~ 200积分
漏洞说明:
1、远程代码执行,远程以App权限执行任意代码。包括但不限于具备完整利用链的内存破坏漏洞、利用动态库覆写或其它业务逻辑上问题导致的远程任意代码执行;
2、远程应用静默安装,远程或弱交互方式实现任意应用的静默安装。包括但不限于浏览器点击、扫码等方式;
3、影响范围广的逻辑漏洞,包括但不限于核心账户体系的账密校验逻辑问题导致任意用户登录。

高危
现金奖励:
¥3,000 – ¥5,000
积分奖励:
100 – 150积分
漏洞说明:
1、本地代码执行,本地以App权限执行任意代码,包括但不限于具备完整利用链的内存破坏漏洞、利用动态库覆写或其它业务逻辑上问题导致的远程任意代码执行;
2、本地提权漏洞,本地提权至App权限执行敏感操作、包括但不限于打开App任意保护组件、静默安装任意应用、修改App安全设置以及短信读写,客户端沙箱数据读写等漏洞;
3、核心业务敏感数据/信息泄露,包括但不限于重要用户信息、订单信息、任意文件读取等。

中危
现金奖励:
¥1000 – ¥3,000
积分奖励:
50 – 100积分
漏洞说明:
1、需交互的对用户产生危害的漏洞,普通越权操作,包括但不限于可查询其它少量用户数据的越权操作,任意组件调用等漏洞;
2、本地任意文件读取,本地以App权限读取应用内的沙箱文件;
3、一般业务敏感数据/信息泄露,包括但不限于重要用户信息、订单信息、任意文件读取等。
4、应用破解类漏洞,包括但不限于应用内购、VIP功能破解、账号权限绕过等漏洞。

低危
积分奖励:
1 – 50积分
漏洞说明:
1、可造成实际危害的url跳转等风险、危害较小的安全问题;
2、远程拒绝服务漏洞,包括但不限于攻击接口、页面导致的拒绝服务、APP远程拒绝服务等。指定任意用户或手机号无限制的短信轰炸问题;
3、其它造成低危害的漏洞,例如:管理后台开放、解析漏洞、存在可被暴力破解接口等;
4、需要物理接触或在特定场景下需用户配合才能造成的用户信息泄漏相关漏洞。

注:APP中API接口漏洞
按照web漏洞奖励标准评估。
友情提示:
若有发现传播如破解应用功能等威胁情报同样可反馈至360SRC。
若有白帽评估漏洞价值超于规则价值,可与运营协商,最终会根据漏洞的严重情况进行定价。无法证明存在危害或者无法提供POC、无凭据的主观猜测、公开平台可直接下载的样本以及断网情形下的测试不算哦~
如对规则有疑问可戳运营(wx:haruqx、Augety1823)

商务合作,文章发布请联系 anquanke@360.cn
分享到:微信
+10赞
收藏
360安全应急响应中心
分享到:微信

发表评论

360安全应急响应中心

360安全应急响应中心(360 Security Response Center,简称360SRC)是360公司致力于保障产品及业务安全,促进白帽专家合作与交流的平台。诚邀白帽专家向我们反馈360产品安全漏洞、威胁情报,共筑数字安全基石,保障数亿用户业务和产品的安全。

  • 文章
  • 40
  • 粉丝
  • 5

热门推荐

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66