Noticeboard
back

【公告】MiSRC漏洞奖励规则

Post by Pa0er at 2019-05-23 19:21:50

基本原则

  1. 小米安全中心希望通过白帽子提交漏洞的方式加强自身业务安全及业界合作,我们承诺:每一份报告我们都会有专人进行评估和跟进,会给予白帽子与之匹配的利益

  2. 小米反对和谴责以漏洞测试为借口,利用安全漏洞进行破坏、损害用户利益的黑客行为,包括但不仅限于利用漏洞盗取用户隐私及虚拟财产、入侵业务系统、非授权获取系统(业务)数据、窃取用户数据、恶意传播漏洞或数据等。未经允许请勿在任何公众场合或平台讨论或披露产品漏洞细节。如有上述行为,小米将有权追究其法律责任。

  3. 小米希望加强和白帽子的沟通和合作,通过提高业务安全性

奖励规则

  1. 关于生态链上合作厂商的漏洞,目前只收取与小米业务信息相关漏洞,评分会按信息相关的程度,按《小米生态链安全漏洞接受范围及评分标准》进行评分,生态链中的漏洞不计入额外奖励当中。对于生态链上厂商与小米信息无关的漏洞,我们将表示感谢,并积极友情传达给生态链合作厂商要求其修复

  2. 对每个月排名前三的白帽子给予月度奖励,月度奖励会以金币形式发放

漏洞争议及解决方案

  1. 首先以漏洞评分规则按已有规则进行评分

  2. 漏洞不在评分规则内的有争议漏洞,由安全团队组内投票进行评分

  3. 当漏洞影响无法说服大多数安全团队内的人依然存在争议的漏洞,引用CVSS的评分标准

评分细则

根据漏洞危害程度将评级分为严重、高危、中危、低危4个等级,以及忽略情况,每个等级涵盖的漏洞以及评分标准如下

本评分规则仅作为参考,漏洞的最终评分会按照漏洞的实际利用难度、业务特点、漏洞的影响范围等多维度综合评分,小米安全中心拥有最终解释权

业务漏洞评分细节

其中重要业务包括但不限于:小米商城、有品商城、小米金融、小米账户、小米云服务业务等

一般业务包括但不限于:如个别业务的系统运营平台、运维系统、业务分支系统、论坛社区等

边缘业务包括但不限于:一些对业务无实际影响的运维监控、测试页、测试环境、本身缺少访问权限的开源系统等

边缘业务按照一般业务的评分标准降低一个漏洞等级进行评分

 

漏洞级别 漏洞详情 奖励标准
严重
  1. 直接获取核心系统权限,可直接危害内网的漏洞包括但不限于:命令执行、远程溢出等漏洞;

  2. 能够获取大量小米用户明细信息的漏洞包括但不限于:订单遍历、SQL注入等;

  3. 涉及支付相关漏洞包括但不限于:严重的逻辑错误、能够大量获取利益造成公司、用户损失的漏洞;

  4. 危害小米账户体系的漏洞:如无交互任意小米账户登录可获取用户详尽信息、登入小米云控制手机、用户支付等权限

重要业务:1w-2w

一般业务:5k-1w

高危
  1. 包括但不限于SQL注入

  2. 个别活动、业务的逻辑漏洞如刷积分、刷红包,确实可获取较高利益的漏洞等。

  3. 弱口令或认证信息绕过进入后台,且业务中有实际性权限或敏感信息

  4. 能够大量获取部分用户敏感信息的漏洞(高于200条)

  5. 代码泄露,可实际操作线上业务,可造成较大危害的漏洞

  6. 可SSRF内网,支持多种协议,可获取内网权限的漏洞

  7. 特定场景下或通过一些用户交互才能登录个别小米账户的漏洞且具备实际用户操作权限。

  8. 可通过逻辑漏洞获取大量有效用户信息的设计缺陷类漏洞等

重要业务:2k-4k

一般业务:600-2k

中危
  1. 较少的用户信息泄露,数据量低于200条

  2. 存储xss

  3. 具有破坏性的越权漏洞,如编辑、删除评论、更改功能属性等

  4. 文件包含、目录遍历、能查看到部分敏感信息的漏洞

  5. 代码泄露,有较敏感信息但未成功利用的漏洞

  6. 可SSRF内网,无回显或部分回显但未能获取信息或服务权限的漏洞

  7. Github中泄露了员工的邮箱、线上服务器账户密码等

  8. CSRF较重要功能

  9. 文件上传只能造成钓鱼、存储xss危害的漏洞

  10. 不受浏览器安全策略限制的domxss

  11. 需要强交互、多步交互(两步或两步以上)才能对用户有较大影响的漏洞

  12. 域名指向错误可被攻击者任意劫持

重要业务:800~1k

一般业务:300~700

低危
  1. 反射xss

  2. Github中泄露了员工内网存活的测试服务器账户密码等

  3. Csrf一般功能

  4. 临时文件遍历

  5. Phpinfo

  6. Url跳转

  7. 短信轰炸

  8. 有一定敏感信息的机器日志文件

  9. 调试信息泄露

  10. 确认为漏洞,但有较大难度的漏洞

  11. svn .git等泄露无敏感信息

  12. 应用层缺陷导致的拒绝服务类攻击

重要业务:100~200

一般业务:50~100

忽略
  1. 无实际危害的问题。包括但不仅限于产品功能缺陷、页面乱码、样式混乱、不泄露敏感信息的报错

  2. 不能重现的漏洞。包括但不仅限于经小米安全确认无法重现的漏洞。

  3. 无法利用或者没有利用价值的漏洞。包括但不仅限于无意义的目录遍历、401基础认证钓鱼、有编码缺陷但无法利用的问题、Self-XSS、无敏感操作的CSRF、无意义的异常信息泄露、无实际危害证明的扫描器结果、无敏感信息的jsonhijacking、仅有js与img等的打包文件、一般信息的logcat等。

  4. 不能直接体现漏洞的其他问题。包括但不仅限于纯属用户猜测的问题、不包含敏感信息的测试页面等。

  5. SSRF漏洞无法获取内网的相关服务器信息,只是简单的访问dnslog,无任何影响。

  6. 非核心客户端本地拒绝服务漏洞。包括但不仅限于组件参数未验证导致的拒绝服务漏洞。

  7. Zookeeper、memcache、redis、普通的运维管理系统等未授权访问,没有数据或者其他可利用的地方,可以忽略

  8. 内部已知漏洞,审核员会给出相关提案号以及部分漏洞信息证明

  9. 文本注入

  10. 无实际影响的slowhttptest

  11. 需要较大成本的ddos攻击

  12. Web端的中间人劫持类问题

  13. 第三方工具或在线平台的扫描结果不能直接作为漏洞证明,无法提供具体的漏洞描述、验证方式和危害的

0

评分标准通用原则

  1. 同一漏洞最早提交者得分

  2. 如需进一步证明漏洞的危害,请联系小米安全工作人员协商。禁止私自利用漏洞对小米进行渗透和攻击

  3. 部分从技术理论上可行的漏洞,但无深入证明的报告,小米安全工作人员会进行内部测试来确认漏洞的危害,但因条件因素等影响,双方均无法证明漏洞危害的情况,由报告目前能证明的危害进行评分

  4. 由同一个漏洞源产生的多个漏洞计漏洞数量为一个,例如;服务器某一配置、应用框架某一全局功能、同一文件或模板、泛域名解析等引起的多个问题

  5. 对于漏洞需提交详细的漏洞描述、漏洞复现的poc、以及证明漏洞危害的详细报告,对于漏洞报告过于简单、无任何危害证明的报告将忽略或降分处理

移动端业务评分细节

客户端与服务端交互的漏洞符合web层业务的按web层的评分标准

重要业务如:小米商城、米家app、小米金融、小米支付、miui自身的漏洞(不包括第三方组件、安卓原生环境的漏洞)

一般业务如:小米社区、小米游戏、多看等分支业务的app

漏洞级别 漏洞详情 奖励标准
严重
  1. 严重的逻辑可造成用户较大经济损失的漏洞;

  2. 能获取系统root权限的漏洞;

  3. 无交互远程命令执行漏洞;

  4. 绕过安全启动,如SELinux

重要业务:1w-4w

一般业务:5k-2w

高危
  1. 能够远程获取部分大量用户敏感信息的漏洞

  2. 对攻击者无利益价值但对用户有较大损失的漏洞。

  3. 需要一定的交互逻辑,才能造成用户较大损失的漏洞

  4. 能获取system权限的漏洞

  5. 系统级别的锁屏绕过(需测试最新开发版,且具备通用可复现)

  6. 安装恶意app即可无交互获取受害app权限的漏洞

  7. 安装恶意app在新版安卓原生环境下的app克隆类漏洞。

  8. 安装恶意app绕过权限限制,读取用户隐私数据类漏洞等

重要业务:5k-1w

一般业务:2k-5k

中危
  1. 需安装app 才能造成系统重启或部分功能拒绝服务等漏洞

  2. 通过劫持造成一般危害的漏洞

  3. 接口的逻辑漏洞可造成欺骗用户、钓鱼等漏洞

  4. App级别的锁屏绕过

  5. 需要安装app在较旧的安卓原生环境下才能做到app克隆类漏洞

  6. 需要安装app读取用户敏感信息类漏洞

  7. app本地sql注入有敏感信息

重要业务:1k~2k

一般业务:600~1k

低危
  1. App的不安全配置(利用难度较大或无较大影响的问题将忽略)

  2. 低危的信息泄露

  3. 需要较复杂鸡肋的环境、条件才能触发的漏洞

  4. app升级功能的劫持类漏洞

  5. 需要物理接触,特定场景下,用户配合的情况下才能造成的信息安全相关漏洞

  6. 在安装恶意app下,能够调起其他app组件打开任意地址,打开文件,但无法获取数据类漏洞

  7. 在安装恶意app后,能够读取敏感信息但非用户信息的漏洞

  8. app本地sql注入无有效敏感信息

重要业务:200~500

一般业务:100~200

智能硬件端评分细节

重要业务:如流行的视频智能硬件、小米路由等涉及到用户隐私、人身安全、财产安全的智能硬件

一般业务:如小米收音机、智能灯等小家电

智能硬件漏洞受漏洞的利用难度、利用条件、影响范围、使用场景等因素限制,当漏洞达到危害影响,但需要较苛刻的利用条件、或者利用场景时,按照漏洞实际影响进行上下幅度的漏洞等级进行评分

注意:智能硬件中属于小米账户体系、风控、app的相关漏洞按照web、移动端的评分标准进行评分

漏洞级别 漏洞详情 奖励标准
严重
  1. 严重的逻辑可造成用户较大经济损失的漏洞;

  2. 互联网环境下能获取系统root权限的漏洞;

  3. 互联网环境下无交互远程命令执行漏洞;

重要业务:1w-4w

一般业务:5k-2w

高危
  1. 局域网内的无交互命令执行

  2. 能够获取大量用户详细敏感信息的漏洞

  3. 无条件远程拒绝服务漏洞

重要业务:5k-1w

一般业务:2k-5k

中危
  1. 局域网内的拒绝服务

  2. 需交互造成临时性拒绝服务

  3. 非重要功能的越权、逻辑漏洞等

  4. 需要较苛刻环境下才能触发的危害较高的漏洞

重要业务:1k~2k

一般业务:600~1k

低危
  1. 不安全配置(利用难度较大或无较大影响的问题将忽略)

  2. 低危的信息泄露

  3. 需要物理接触,危害只造成信息泄露或有安全风险类漏洞。

  4. 强交互后的拒绝服务类漏洞

重要业务:200~500

一般业务:100~200

通用漏洞评分细节

由于小米相关业务使用的第三方公共组件与系统,其通用漏洞的修复由服务厂商的补丁下发进行维护,在修复周期内,为了能和白帽子更好的合作,同时对小米相关业务运营不造成影响

  1. 小米相关业务受最新通用漏洞影响,但补丁下发、需要一定的修复周期,在此期间提交相关漏洞,不计分,包括但不限于CVE公开漏洞、通用软件的漏洞

  2. 由服务厂商官方补丁下发后一定周期内(具体周期按业务排期需求而定),确认漏洞属于补丁更新不及时、或未修复的通用漏洞正常计分

  3. 对于已确认存在的通用漏洞,仅对漏洞报告证明的危害程度进行评分,不对漏洞可能造成的危害评分

  4. 对于通用漏洞需提交详细的漏洞描述、漏洞复现的poc、以及证明漏洞危害的详细报告,对于漏洞报告过于简单、无任何危害证明的报告将忽略或降分处理

  5. 由一个通用漏洞的相同配置,造成的多台服务器漏洞按一个漏洞确认,但评分会有所提高。包括但不限于同一个C段的相同服务的漏洞、分发服务上的相同软件的错误配置等

  6. 小米相关业务的通用软件漏洞,按第一个提交的漏洞确认,包括但不限于不同版本的miui通用漏洞等

 

小米安全中心拥有最终解释权