Noticeboard
back

小米安全响应中心漏洞奖励细节V1.0

Post by Pa0er at 2014-09-18 18:17:10

基本原则

1. 小米科技对自身产品和业务的安全问题非常重视,也一直致力于保障用户安全,我们希望通过小米安全响应中心加强与业界个人、组织及公司密切合作,来提升小米的网络安全水平。

2. 小米科技对于保护用户利益,帮助小米安全提升的白帽子黑客,我们给予感谢和回馈。

3. 小米科技反对和谴责一切以漏洞测试为借口,利用安全漏洞进行破坏、损害用户利益的黑客行为,包括但不限于利用漏洞盗取用户资料、入侵业务系统、修改、窃取相关系统资料、恶意传播漏洞或数据。对于发生上述行为的、小米公司将追究其法律责任。

 

漏洞处理流程

1. 访问 https://sec.xiaomi.com 注册帐号并登陆。

2. 完善个人信息。

3. 在线提交漏洞。

4. 查看已提交的漏洞状态。

5. 提供详细信息领取奖励。

 

安全漏洞评分标准

对于每一个级别的漏洞,我们会根据漏洞利用的技术难度、漏洞造成的影响等进行综合考虑,分成不同的层次,并给与相应积分。

根据漏洞出现的业务等级,漏洞危害程度分为高危、中危、低危、忽略四个级别,每个级别涵盖的漏洞以及评分标准如下:

高危: 奖励金额:500-2000元,包含但不限于:

1. 直接获取系统权限(服务器权限、客户端权限)的漏洞。包括但不限于远程任意命令执行、代码执行、任意文件上传获取Webshell、缓冲区溢出、SQL注入获取系统权限、服务器解析漏洞、文件包含漏洞等。

2. 严重的逻辑设计缺陷。包括但不限于任意账号登陆、任意账号密码修改、短信邮件验证的绕过。

3. 严重的敏感信息泄露。包括但不限于严重的SQL注入、任意文件包含等。

4. 越权访问。包括但不限于绕过验证直接访问后台、后台登录弱口令、SSH弱口令,数据库弱口令等。

 

中危:奖励金额150-500元,包含但不限于:

1. 需要交互才能获取用户身份信息的漏洞。包括存储型XSS等。

2. 普通逻辑设计缺陷。包括但不限于无限制短信邮件等发送等。

3. 非重点产品线、利用难度较大的SQL注入漏洞等。

 

低危: 分值范围50-150元,包含但不限于:

1. 一般信息泄露漏洞。包括但不限于路径泄露、SVN文件泄露、LOG文件泄露、Phpinfo等。

2. 无法利用或者难以利用的漏洞,包括但不限于反射型XSS和只能弹自己的XSS。

 

忽略:本等级包括:

1. 不涉及安全问题的bug。包括但不限于产品功能缺陷、页面乱码、样式混编等。

2. 无法重现的漏洞、不能直接体现漏洞的其他问题。包括但不限于纯属用户猜测的问题。

 

评分标准通用原则:

1. 评分标准仅适用于小米所有产品和服务。域名包括但不限于*.mi.com、*.miui.com、*.xiaomi.com、*.duokan.com、*.miwifi.com,服务器包括小米运营的服务器,产品为小米发布的移动端产品。

2. 漏洞奖励仅限于在小米安全响应中心上提交的漏洞,在其它平台上提交过的不计分。

3. 提交网上已经公开的漏洞不计分。

4. 同一漏洞最早提交者得分。

5. 同一漏洞源的多个漏洞仅记为1个。

6. 对于同一个链接url,如果多个参数存在类似的漏洞,按一个漏洞积分,同一链接不同类型的,按危害程度最大的给出奖励。7. 对于移动终端系统导致的通用型漏洞,比如 webkit 的 uxss、代码执行等等,仅给首个漏洞报告者奖励,对于其它产品的同个漏洞报告,均不再计算。

8. 各漏洞的最终得分由漏洞利用难易程度、危害大小及影响范围综合考虑决定。有可能出现漏洞等级低的漏洞积分高于漏洞等级高的漏洞。

9. 请各位白帽子在反馈漏洞时提供 poc/exploit,并提供相应的漏洞分析,以加快管理员处理速度,对于 poc 或 exploit 未提供或者没有详细分析的漏洞提交将可能直接影响奖励。

 

奖金发放流程 : 每月20日结算后,发放上月奖金。

 

月度奖励计划和发放流程:每月获得奖金金额前五名,将获得月度奖励,奖品分别为:小米4手机,红米NOTE手机增强版,小米盒子增强版,小米活塞耳机,小米移动电源。每月20日结算后,发放上月奖品。

 

争议解决办法 : 在漏洞处理过程中,如果报告者对漏洞评定、漏洞评分等具有异议的,请及时联系管理员沟通。小米安全应急响应中心将根据漏洞报告者利益优先的原则进行处理,必要时可引入外部权威人士共同裁定。

—   联系我们   —

新浪微博

公众号