系统公告
back

关于提升MiSRC漏洞奖励的公告

由 桃子 于2017-06-05 16:22:22发表

为答谢广大白帽子对MiSRC的支持,给白帽子们带来更多福利,现对各项评分标准做以下调整。

1.恢复月度奖励。奖励两项排行榜前3名白帽子。质量排名前3,漏洞数量排名前3。

第一名需提交高危以上漏洞3个

第二名需提交高危以上漏洞2个

第三名需提交高危以上漏洞1个

奖励分别为:

质量排名第一、数量排名第一的白帽子:小米电视

质量排名第二、数量排名第二的白帽子:小米6

质量排名第三、数量排名第三的白帽子:小米电饭锅

如白帽子不需要该奖品,可转为金币。当月不满足高危条件的话,降级为排名以下的奖品。

 

2.增加即时额外奖励,严重漏洞:1.5万金币奖励(约一万RMB)


3.生态链上合作厂商与小米信息相关的漏洞,放开高危、严重漏洞的评分标准,按小米一般业务的评分标准评分,但不加入即时额外奖励当中。

 

评分细则:

按业务重要性等级评分

Web:

一般业务:如个别业务的系统运营平台、运维系统、业务分支系统等

重要业务:小米商城、米家商城等

级别

包含的漏洞

评分标准

严重

1.能够拿到系统权限的漏洞,包括但不限于:命令执行、远程溢出等漏洞。

2.能够获取大量小米用户明细信息的漏洞包括但不限于:订单遍历、SQL注入等

3.涉及支付相关漏洞包括但不限于:严重的逻辑错误、能够大量获取利益造成公司、用户损失的漏洞

4.任意账户登录,可以进行支付、用户敏感信息操作的漏洞

重要业务:

10000~50000


一般业务:

5000~10000

高危

1.包括但不限于SQL注入

2.可获得利益的个别活动、业务的逻辑漏洞如刷积分、刷红包等。

3.弱口令进入后台,且有敏感信息的系统

4.部分涉及用户隐私的用户敏感信息泄露等

5.代码泄露能够进一步渗透利用

6.可SSRF内网返回内网信息的漏洞

7.通过一些用户交互才能登录个别账户的漏洞

重要业务:

2000~3000


一般业务:

800~2000

中危

1.较少的用户敏感信息泄露

2.对攻击者来说无利益价值,但是具有破坏性的漏洞,如编辑、删除等

3.存储xss

4.不能造成用户损失的一般的越权逻辑漏洞等

5.文件包含、目录遍历、能查看到部分敏感信息的漏洞

6.代码泄露,但无法利用的漏洞

7.可SSRF内网,但未能获取信息或服务权限的漏洞

8.Github中泄露了员工的邮箱、线上服务器账户密码等

9.CSRF较重要功能

重要业务:

500~800


一般业务:

300~500

低危

1.反射xss

2.Github中泄露了员工内网存活的测试服务器账户密码等

3.Csrf一般功能

4.临时文件遍历

5.Phpinfo

重要业务:

100~200


一般业务:

10~50

 

App、miui:安卓客户端与服务端交互的漏洞符合web层业务的按web层的评分标准

级别

包含的漏洞

评分标准

严重

1.严重的逻辑可造成用户经济损失的漏洞

2.能获取系统root、权限的漏洞

3.远程命令执行漏洞

4.远程获取用户详细敏感信息的漏洞

 

 

重要业务:

10000~50000


一般业务:

5000~10000

高危

1.能够远程获取部分大量用户敏感信息的漏洞

2.对攻击者无利益价值但对用户有较大损失的漏洞

3.需要一定的交互逻辑,才能造成用户较大损失的漏洞

4.能获取system权限的漏洞

重要业务:

2000~4000


一般业务:

2000~3000

中危

1.需安装app   才能造成系统重启或部分功能拒绝服务等漏洞

2.通过劫持造成一般危害的漏洞

3.接口的逻辑漏洞可造成欺骗用户、钓鱼等漏洞

4.锁屏绕过

 

重要业务:

500~1000


一般业务:

200~500

低危

1.App的不安全配置

2.低危的信息泄露

3.需要较复杂鸡肋的环境、条件才能触发的漏洞

4.一般功能的劫持类漏洞

重要业务:

100~200


一般业务:

10-100

 

智能硬件:

级别

包含的漏洞

评分标准

严重

1.严重的逻辑可造成用户经济损失的漏洞

2.能获取系统root权限的漏洞

3.远程命令执行漏洞

4.远程获取用户详细敏感信息的漏洞

 

 

重要业务:

10000~50000


一般业务:

5000~10000

高危

1.局域网内的命令执行

2.能够获取用户敏感信息的漏洞

3.远程拒绝服务漏洞

 

重要业务:

5000~10000


一般业务:

2000~4000

中危

1.局域网内的拒绝服务

2.需要交互才能造成拒绝服务的漏洞

3.非重要功能的越权、逻辑漏洞等

4.需要较苛刻环境下才能触发的漏洞

重要业务:

1000~2000


一般业务:

800~1000

低危

1.不安全配置等

2.低危的信息泄露

重要业务:

200~500


一般业务:

100~200


无效漏洞:

  1. 无意义的CSRF或影响较低的CSRF攻击

  2. 组件版本过低,但没有实际危害的漏洞

  3. 无敏感信息的临时文件等

  4. 利用难度较大,且没有较高价值的漏洞


各种漏洞在利用场景、业务特点等因素评分会有上下幅度,小米安全中心拥有最终解释权