Noticeboard
back

【公告】MiSRC 漏洞奖励规则 v4.0

Post by Pa0er at 2020-01-02 16:19:56

MiSRC 漏洞奖励规则V4.0

一、基本原则

1、小米安全中心希望通过白帽子提交漏洞的方式加强自身业务安全及业界合作,非常欢迎广大用户向我们反馈小米产品和业务的安全漏洞,我们承诺:每一份报告我们都会有专人进行评估和跟进,会给予白帽子与之匹配的利益。

2、小米反对和谴责以漏洞测试为借口,利用安全漏洞进行破坏、损害用户利益的黑客行为,包括但不仅限于利用漏洞盗取用户隐私及虚拟财产、入侵业务系统、非授权获取系统(业务)数据、窃取用户数据、恶意传播漏洞或数据等。如有上述行为,小米将有权追究其法律责任。具体测试规范请参考:SRC行业安全测试规范

3、如果您对本流程有任何建议,欢迎发送邮件至security@xiaomi.com或通过QQ:3022560938向我们反馈,建议一经采纳,MiSRC会送出专属礼品一份。

二、漏洞提交及处理流程

2.1 提交流程

2.2 漏洞争议及解决方案

在安全漏洞/情报的处理过程中,如果报告者对处理流程、等级评定有异议,可以通过漏洞详情对话框留言反馈,或者通过QQ:3022560938沟通。小米安全中心将根据漏洞/情报报告者利益优先的原则进行处理,必要时可引入外部安全专家共同裁定。

2.3 漏洞通用评分规则

(1)同一漏洞,首位报告者计贡献值,其他报告被视为不符合规则,不予确认

(2)在漏洞未修复之前,未经允许公开漏洞将不予确认

(3)部分从技术理论上可行但无法深入证明的报告,小米安全工作人员会进行内部测试来确认漏洞的潜在危害。但因条件因素等影响,双方均无法证明漏洞危害的情况,由报告目前能证明的危害进行评分

(4)小米相关业务受最新通用漏洞影响,但补丁下发、需要一定的修复周期(具体周期按业务排期需求而定),在此期间提交相关漏洞, 不计分,包括但不限于CVE 公开漏洞、通用软件的漏洞。确认漏洞属于补丁更新不及时、或未修复的通用漏洞正常计分

(5)由同一个漏洞源产生的多个漏洞计漏洞数量为一个,例如;服务器某一配置、应用框架某一全局功能、同一文件或模板、泛域名解析等引起的多个问题。如发现多个,统一提交到一个漏洞报告中,我们将予以双倍金币奖励。若提交多个,只有第一个获得奖励,其他将做忽略处理。

(6)小米相关业务的通用软件漏洞,按第一个提交的确认,包括但不限于不同版本的miui通用漏洞等

(7)漏洞报告需尽量包含详细的漏洞描述、漏洞复现的 poc、以及漏洞危害证明,以加快技术人员处理速度。对于漏洞报告过于简单、无任何危害证明的报告将忽略或降分处理

(8)短信轰炸的定义:单一 IP/用户半小时内定向发送超过 50 条后无任何限制。使用短信接口不受限制向不同手机发送 1 条短信的问题将做忽略处理

(9)关于合作厂商的漏洞,目前只收取与小米业务方有关的漏洞,我们会参考实际危害和影响做具体评级操作。对于与小米业务方无关的合作厂商漏洞,我们会向漏洞提交者表示感谢,并积极传达给合作厂商,合作厂商的漏洞不计入额外奖励当中

(10)各漏洞的最终审核情况由漏洞利用难易程度、危害大小及影响范围综合考虑决定

2.4 注意事项

(1)请您不要在最低验证或者漏洞指标核实测试要求范畴之外利用任何安全漏洞

(2)请您尽量避免访问任何存储在我司信息系统内的数据,除非访问该数据为验证安全漏洞存在的必要步骤,在测试过程中,如发现公司极敏感信息,请立即停止测试并联系我们

(3)请您不要在任何情况下泄露在漏洞测试过程中所获知的任何数据

(4)在收到我司的明确书面授权之前,请不要公开披露或提供关于我司产品或服务安全漏洞的任何细节信息

(5)如您在测试过程中无法确定能否继续进行测试,请与我们联系

三、MiSRC奖励构成

小米安全中心奖励由【漏洞/情报基础奖励】、【优质报告附加奖励】、【特殊漏洞/情报贡献奖】、【平台特色奖励】4个部分构成,并且会根据行业情况以及各位白帽的建议不断升级完善。

3.1 漏洞/情报基础奖励

基础奖励详见第四章

3.2 优质报告附加奖励

若提交的报告描述详细、内容完整、思路新颖,将可能获得10-200贡献币的额外奖励,即100-2000RMB,报告需包含标题+漏洞描述+漏洞证明+修复方案。

【标题】:明确漏洞影响的域名及产品名称以及漏洞类型

【漏洞描述】:详细的漏洞描述,漏洞涉及的url、漏洞参数等

【漏洞证明】:漏洞影响说明以及漏洞利用证明

【修复方案】:针对报告的漏洞,提供一条及以上可执行的修复建议

3.3 特殊漏洞/情报贡献奖

对于涉及到严重敏感信息泄露、直接造成小米核心业务拒绝服务、远程获取核心系统权限等影响巨大且对小米安全有特殊帮助的漏洞/情报,经小米安全中心核验后,将给予1k-5w的额外奖励。

3.4 平台特色奖励

小米安全中心会不定期推出月度奖励、季度奖励、年度奖励以及各种活动奖励,奖励详情请关注【小米安全中心】微信公众号或者MiSRC官网查看。

3.4.1 【月度奖励】

 每月前5名的白帽子可获得精美礼品+月度奖章一个,月度奖章可用于冲刺年度奖励。

3.4.2 【年度奖励】

集奖章得MiSRC年终大礼包(小米产品组合)

集齐3个:小米产品组合(3款产品)

集齐6个:小米产品组合(6款产品)

集齐9个:小米产品组合(9款产品)

集齐12个:小米产品组合(12款产品)

3.4.3【季度奖励】

注:若移动端中危漏洞超出各等级标记数量1/2/4个,则不再直接累加n值,超出的部分3个中危可兑换累加1个n值。如:提交6个高危及10个中危,则n=12(6+4+6/3)。提交4个高危及4个中危,则n=6(4+2)。

以上均为额外奖励。举个例子,A师傅第一季度共提交10个WEB端高危及以上漏洞,即可获得额外税后奖励¥15000以及¥5000的手机或同等价值小米产品,共计¥20000额外奖励(边缘业务不参与该奖励)。

四、安全漏洞评分细则

4.1 漏洞基础评分规则

  • 根据漏洞危害程度将评级分为严重、高危、中危、低危忽略,共五个等级,每个等级涵盖的漏洞以及评分标准见4.2、4.3、4.4。
  • 本评分规则仅作为参考,漏洞的最终评分会按照漏洞的实际利用难度、业务特点、漏洞的影响范围、报告的详细程度、复测过程中上报者的配合程度等多维度综合评分,小米安全中心拥有最终解释权。

4.2 WEB 漏洞评分规则 

4.2.1 业务等级划分 

核心业务:小米商城、有品商城、小米金融、小米账户、小米云服务业务等

一般业务:如米聊、多看、小米社区、小米娱乐、小米游戏等

边缘业务:如虚拟银行、小米超神、金融科技等小米合作投资的业务以及一些对业务无实际影响的运维监 控、测试页、测试环境、本身缺少访问权限的开源系统等(最终评判结果视漏洞原因而定)

非小米资产:米筹、小米彩票、智米、黑鲨、省钱购、米灵、小蚁、小米运动华米-生态链

注:该内容会随业务实际情况不断更新,敬请关注

4.2.2 评分细则

漏洞级别 漏洞详情 奖励标准(贡献币)
严重
  1. 直接获取核心系统权限,可直接危害内网的漏洞包括但不限于:命令执行、远程溢出等漏洞
  2. 能够获取大量小米用户核心数据的漏洞包括但不限于核心DB的SQL 注入
  3. 涉及支付相关漏洞包括但不限于:严重的逻辑错误、能够大量获取利益造成公司、用户损失的漏洞
  4. 危害小米账户体系的漏洞:如无交互任意小米账户登录可获取用户详尽信息、登入小米云控制手机、用户支付等权限

核心业务: 400~800

一般业务: 180~400

边缘业务: 50~100

高危
  1. 能够获取用户敏感信息的漏洞包括但不限于普通站点的 SQL 注入
  2. 个别活动、业务的逻辑漏洞如刷积分、刷红包,确实可获取较高利益的漏洞等。
  3. 弱口令或认证信息绕过进入后台,且业务中有实际性权限或敏感信息
  4. 代码泄露,可实际操作线上业务,可造成较大危害的漏洞
  5. 可 SSRF 内网,支持多种协议,可探测内网服务的漏洞(ssrf漏洞验证方式见该评分细则注意事项)
  6. 特定场景下或通过一些用户交互才能登录个别小米账户的漏洞且具备实际用户操作权限。
  7. 可获取核心cookie等敏感信息或能造成广泛传播的存储xss

核心业务:180~400

一般业务:100~180

边缘业务:10~30
中危
  1. 用户普通信息泄露
  2. 需交互方可影响用户的漏洞,包括但不限于存储型xss、重要敏感操作的CSRF
  3. 具有破坏性的越权漏洞,如编辑、删除评论、更改功能属性等
  4. 文件包含、目录遍历、能查看到部分敏感信息的漏洞
  5. 代码泄露,有较敏感信息但未成功利用的漏洞
  6. SSRF 内网,无回显或部分回显但未能获取信息或服务权限的漏洞(ssrf漏洞验证方式见该评分细则注意事项)
  7. Github 中泄露了员工的邮箱、线上服务器账户密码等
  8. 文件上传只能造成钓鱼、(重要业务)存储 xss 危害的漏洞
  9. 不受浏览器安全策略限制的 domxss
  10. 需要强交互、多步交互(两步或两步以上)才能对用户有较大影响的漏洞
  11. 域名指向错误可被攻击者任意劫持

核心业务:30~60

一般业务:10~30

边缘业务:1~5
低危
  1.  在特定情况下才能获取用户信息的漏洞,包括但不限于反射型xss
  2. Csrf 一般功能 
  3. 临时文件遍历 
  4. Url 跳转 
  5. 短信轰炸
  6. 轻微信息泄露,包括但不限于调试信息、Phpinfo、SVN文件泄露、github员工内网存活的测试服务器账号密码等
  7. 有一定敏感信息的机器日志文件 
  8. 确认为漏洞,但有较大难度的漏洞 
  9. 应用层缺陷导致的拒绝服务类攻击 

核心/一般业务:5~10

边缘业务:1~5
忽略
  1. 无实际危害的问题。包括但不仅限于产品功能缺陷、页面乱码、样式混乱、不泄露敏感信息的报错
  2. 不能重现的漏洞。包括但不仅限于经小米安全确认无法重现的漏洞。
  3. 无法利用或者没有利用价值的漏洞。包括但不仅限于无意义的目录遍历、401 基础认证钓鱼、有编码缺陷但无法利用的问题、Self-XSS、无敏感操作的CSRF、无意义的异常信息泄露、无实际危害证明的扫描器结果、无敏感信息的 jsonhijacking、仅有 js 与 img 等的打包文件、一般信息的 logcat 等。
  4. 不能直接体现漏洞的其他问题。包括但不仅限于纯属用户猜测的问题、不包含敏感信息的测试页面等。
  5. SSRF 漏洞无法获取内网的相关服务器信息,只是简单的访问 dnslog,无任何影响。
  6. 非核心客户端本地拒绝服务漏洞。包括但不仅限于组件参数未验证导致的拒绝服务漏洞。
  7. Zookeeper、memcache、redis、普通的运维管理系统等未授权访问,没有数据或者其他可利用的地方,可以忽略
  8. 内部已知漏洞,审核员会给出相关提案号以及部分漏洞信息证明
  9. 文本注入
  10. 无实际影响的 slowhttptest
  11. 需要较大成本的 ddos 攻击
  12. Web 端的中间人劫持类问题
  13. 第三方工具或在线平台的扫描结果不能直接作为漏洞证明,无法提供具体的漏洞描述、验证方式和危害的
 

注:为方便大家测试SSRF漏洞,MiSRC为白帽子提供了SSRF漏洞验证方式:

直接请求https://ssrf.dun.mi.com/ssrf/hacker,“hacker“字段可自定义,用于区分:

1、 若有回显,报告中提交回显完整页面截图(含文本长度,分完全回显/部分回显)

2、 若无回显,报告中告知自定义字段内容以及访问时间,MiSRC方会进行验证

 

4.3 移动端业务评分细节

4.3.1 移动端业务等级划分

核心业务:如小米商城、米家、小米金融、小米支付、miui 自身的漏洞(不包括第三方组件、安卓原生环境的漏洞);

一般业务:如小米社区、小米游戏、小米音乐、小米视频;

边缘业务:如特别版业务APP、多看等分支业务的 App

客户端与服务端交互的漏洞符合 web 层业务的按 web 层的评分标准

4.3.2 移动端漏洞报告要求

(1) 测试机型,MIUI 系统版本以及安全补丁日期

adb shell getprop | grep -E   "ro.build.fingerprint|ro.build.version.security_patch"         

(2) 漏洞涉及APP的包名,版本号(请用应用商店升级最新版测试)

(3)漏洞分析的详细报告,包括必要的调用链描述+截图

(4) 验证漏洞的poc,或exp 的源码+apk

(5) 存在多交互场景或者具备一定演示效果的,上传录制视频

(漏洞报告详细程度将直接影响漏洞评分)

 

4.3.3 评分细则

漏洞级别 漏洞详情 奖励标准(贡献 币) 
严重
  1. 严重的逻辑可造成用户较大经济损失的漏洞;
  2. 能获取系统 root 权限的漏洞;
  3. 无交互远程命令执行漏洞;
  4. 绕过安全启动,如 SELinux

核心业务:1000~4000

一般业务:500~2000

边缘业务:

200~500

高危
  1. 能够远程获取部分大量用户敏感信息的漏洞
  2. 对攻击者无利益价值但对用户有较大损失的漏洞
  3. 需要一定的交互逻辑,才能造成用户较大损失的漏洞
  4. 能获取 system 权限的漏洞
  5. 系统级别的锁屏绕过(需测试最新开发版,且具备通用可复现)
  6. 安装恶意 app 即可无交互获取受害 app 权限的漏洞
  7. 安装恶意 app 在新版安卓原生环境下的 app 克隆类漏洞

核心业务:500~1000

一般业务:200~500

边缘业务:60~100

中危
  1. 需安装 app 才能造成系统重启或部分功能拒绝服务等漏洞
  2. 通过劫持造成一般危害的漏洞
  3. 接口的逻辑漏洞可造成欺骗用户、钓鱼等漏洞
  4. App 级别的锁屏绕过
  5. 需要安装 app 在较旧的安卓原生环境下才能做到 app 克隆类漏洞
  6. 需要安装 app 读取用户敏感信息类漏洞
  7. app 本地 sql 注入有敏感信息

核心业务: 100~200

一般业务: 60~100

边缘业务:

10~20

低危

  1.  App 的不安全配置(利用难度较大或无较大影响的问题将忽略)
  2. 低危的信息泄露
  3. 需要较复杂鸡肋的环境、条件才能触发的漏洞
  4. app 升级功能的劫持类漏洞
  5. 需要物理接触,特定场景下,用户配合的情况下才能造成的信息安全相关漏洞
  6.  在安装恶意 app 下,能够调起其他 app 组件打开任意地址,打开文件,但无法获取数据类漏洞
  7. 在安装恶意 app 后,能够读取敏感信息但非用户信息的漏洞
  8. app 本地 sql 注入无有效敏感信息
  9. 浏览器地址栏欺骗类攻击

核心业务:20~50

一般业务:10~20

边缘业务:1~10

忽略
  1. 代码与数据保护类
    • 缺少证书绑定
    • 受TLS保护下的URL/request body中敏感数据传输
    • 用户数据未经加密存储于外部存储设备中(带有敏感信息的APP日志以及已经承诺了加密存储的用户数据除外)
    • APP缺少代码混淆保护
    • APK中含有硬编码或可恢复的秘钥
    • 受到APP私有目录保护的敏感数据
    • 安卓APP中缺乏二进制保护控制
    • APP设置allowBackup为True
  2. 低影响的本地DoS攻击
    • 向导出组件发送畸形的intents,且仅能导致APP崩溃
    • 过度申请资源导致的浏览器崩溃
    • 用户通过重启应用就可以解决的本地DoS攻击
  3. 其他类
    • app在获取了相应权限后,能够获取到权限所允许范围内的数据内容
    • 使用诸如但不限于Frida/ Appmon等工具进行的运行时黑客攻击(只有在越狱环境中才有可能进行攻击)
    • 具有较低欺骗性的钓鱼攻击
0

4.4 智能硬件端评分细节

4.4.1 业务等级划分

核心业务:流行的视频智能硬件、小米路由等涉及到用户隐私、人身安全、财产安全的智能硬件

一般业务:如小米收音机、智能灯等小家电智能硬件漏洞

注:

  1. 受漏洞的利用难度、利用条件、影响范围、使用场景等因素限制,当漏洞达到危害影响,但需要较苛刻的利用条件、或者利用场景时,按照漏洞实际影响进行上下幅度的漏洞等级进行评分
  2. 智能硬件中属于小米账户体系、风控、app 的相关漏洞按照 web、移动端的评分标准进行评分。
  3. 关于生态链合作厂商的漏洞,目前只收取与小米业务信息相关的漏洞,我们会参考实际危害和影响做具体评级操作,生态链中的漏洞不计入额外奖励当中。对于与小米信息无关的生态链厂商漏洞,我们会向漏洞提交者表示感谢,并积极传达给生态链合作厂商要求其修复

4.4.2 IOT产品漏洞报告要求

(1)测试设备名称

(2)固件版本

(3)漏洞分析的详细报告,包括必要的调用链描述+截图

(4)验证漏洞的poc,或exp 的源码

(5)存在多交互场景或者具备一定演示效果的,上传录制视频

(漏洞报告详细程度将直接影响漏洞评分)

4.4.3 评分细则

漏洞级别 漏洞详情 奖励标准(贡献币)
严重
  1. 严重的逻辑可造成用户较大经济损失的漏洞
  2. 互联网环境下无交互远程命令执行漏洞
  3. 互联网环境下控制未授权设备,执行不被期望的函数(如,篡改摄像头,监控视频等)

核心业务:1000-4000  

一般业务: 500~2000

高危
  1. 局域网内的无交互命令执行
  2. 局域网内对控制未授权设备,执行不被期望的函数(如,篡改摄像头,监控视频等)
  3. 能够获取大量用户详细敏感信息的漏洞

核心业务:500~1000

一般业务:200~500 

中危
  1. 互联网/局域网内的拒绝服务
  2. 需交互造成临时性拒绝服务
  3. 非重要功能的越权、逻辑漏洞等
  4. 需要较苛刻环境下才能触发的危害较高的漏洞

核心业务: 100~200

一般业务: 60~100 

低危
  1. 不安全配置(利用难度较大或无较大影响的问题将忽略)
  2. 低危的信息泄露
  3. 需要物理接触,危害只造成信息泄露或有安全风险类漏洞
  4. 强交互后的拒绝服务类漏洞

核心业务:20~50

一般业务:10~20

忽略
  1. IoT 固件未加密
  2. IoT设备调试接口打开但无法获得shell
  3. 下载固件的方式是http
  4. IoT设备存在硬件标识
  5. 对自有IoT设备的本地DoS攻击
  6. BLE GATT链接通道占用
  7. 无按键设备的蓝牙授权绑定
0

五、威胁情报评分细则

5.1 威胁情报奖励标准

1、相同情报内容,首位提交者予以确认,其他报告者不予确认。

2、报告最终评分将与情报详细程度直接关联,即报告详细程度会影响最终评分。

3、未经允许对外披露情报内容,将不予确认,已确认的情报将有权更改。

针对影响巨大的情报,1k-5W 的额外现金奖励规则同样适用

5.2 威胁情报报告要求

(1)情报类型:简要分析情报所涉及的主要问题,如 漏洞、数据泄露、刷关注、刷单等

(2)攻击路径:受攻击的具体页面或接口,如 活动页面,被利用接口

(3)攻击方法:提供情报涉及的作弊或攻击所使用的技术手段、流程步骤或工具等

注:若报告无(2)、(3)两项内容,情报将被忽略

5.3 威胁情报奖励细则

严重
  1. 大量小米用户核心数据流传贩卖线索
  2. 提供重大0day、未公开漏洞形成的产业链等线索
  3. 服务器被入侵,提供入侵行为方式等相关线索 能对小米营收产生重大影响的相关情报
300~500
高危
  1. 用户敏感信息大规模被窃取且提供了攻击代码等相关线索
  2. 大量敏感的内部业务信息、员工信息被窃取且提供了相关线索
  3. 大量近期的订单信息被流传贩卖线索
  4. 能对小米营收产生较大直接影响的相关情报
100~250
中危
  1. 对特定业务营收产生较大直接影响的相关情报,如:利用活动刷积分、绕过业务限制、黄牛产业链、大量薅羊毛等
  2. 能帮助完善防御系统以防御高风险及以上级别危害的新型攻击方式、技术等
10~60
低危
  1. 验证码绕过、系统被攻击拒绝服务等未对用户造成损失,但对业务有影响的情报
  2. 攻击者相关信息
1~20
忽略
  1. 少量用户信息泄露
  2. 无法追溯问题根源、不能证实、根据现有信息 无法调查利用的威胁情报
  3. 对业务用户影响不大,在可承受范围内
  4. 个别的钓鱼网站
  5. MiSRC已知的威胁情报
 

六、奖励发放说明

(1)漏洞报告者通过报告漏洞获得贡献币,贡献币是小米安全中心的虚拟货币,可以兑换礼品和现金(1贡献币=10RMB),兑换地址: https://sec.xiaomi.com/shop

(2)现金兑换:每月月初进行打款统计,如周三未收到打款,将往后顺延一周。礼品兑换:每月月初统计发放上月礼品,兑换时,请各位保证自己的个人资料已经完善。

(3)若未及时填写详细收货及打款信息,打款或发放礼品会延期,我们也会在安全中心留言通知。若因快递原因导致礼品丢失、破损等 MiSRC 概不负责。

注:在漏洞处理过程中,如果报告者对处理流程、漏洞评定、漏洞评分等具有异议的,请通过邮箱security@xiaomi.com 或者QQ:3022560938进行反馈,小米安全应急响应中心将根据漏洞报告者利益优先的原则进行处理。

七、FAQ

  1. MiSRC平台的1贡献币相当于多少人民币?

答:新版MiSRC的1贡献币相当于10元人民币。

  1. MiSRC采用新版漏洞评分标准,会不会影响我之前的金币?

答:不会的,没有在19年完成兑换的金币,我们会通过后台给你补充追加。

  1. 哪些智能硬件的漏洞你们会收?

答:小米商城上卖的智能设备的漏洞都会

—   联系我们   —

新浪微博

公众号