系统公告
back

关于提升MiSRC漏洞奖励的公告

由 桃子 于2017-06-05 16:22:22发表

为答谢广大白帽子对MiSRC的支持,给白帽子们带来更多福利,现对各项评分标准做以下调整。

1.恢复月度奖励。奖励两项排行榜前3名白帽子。质量排名前3,漏洞数量排名前3。

第一名需提交高危以上漏洞3个

第二名需提交高危以上漏洞2个

第三名需提交高危以上漏洞1个

奖励分别为:

质量排名第一、数量排名第一的白帽子:小米电视

质量排名第二、数量排名第二的白帽子:小米6

质量排名第三、数量排名第三的白帽子:小米电饭锅

如白帽子不需要该奖品,可转为金币。当月不满足高危条件的话,降级为排名以下的奖品。

 

2.增加即时额外奖励,严重漏洞:1.5万金币奖励(约一万RMB)


3.生态链上合作厂商的漏洞,放开高危、严重漏洞的评分标准,按小米一般业务的评分标准评分,但不加入即时额外奖励当中。

 

评分细则:

按业务重要性等级评分

Web:

一般业务:如个别业务的系统运营平台、运维系统、业务分支系统等

重要业务:小米商城、米家商城等

级别

包含的漏洞

评分标准

严重

1.能够拿到系统权限的漏洞,包括但不限于:命令执行、远程溢出等漏洞。

2.能够获取大量小米用户明细信息的漏洞包括但不限于:订单遍历、SQL注入等

3.涉及支付相关漏洞包括但不限于:严重的逻辑错误、能够大量获取利益造成公司、用户损失的漏洞

4.任意账户登录

重要业务:

10000~50000


一般业务:

5000~10000

高危

1.包括但不限于SQL注入

2.个别活动、业务的逻辑漏洞如刷积分、刷红包等。

3.具有破坏性的越权漏洞,如编辑、删除等

4.能够引起大范围蠕虫的存储xss

5.弱口令进入后台

6.部分用户敏感信息泄露等

7.代码泄露能够进一步渗透利用

8.可SSRF内网返回内网信息的漏洞

9.通过一些用户交互才能登录个别账户的漏洞

重要业务:

2000~3000


一般业务:

800~2000

中危

1.较少的用户信息泄露

2.不能造成用户损失的一般的越权逻辑漏洞等

3.文件包含、目录遍历、能查看到部分敏感信息的漏洞

4.代码泄露,但无法利用的漏洞

5.可SSRF内网,但未能获取信息或服务权限的漏洞

6.Github中泄露了员工的邮箱、线上服务器账户密码等

7.CSRF较重要功能

重要业务:

500~800


一般业务:

300~500

低危

1.反射xss

2.Github中泄露了员工内网存活的测试服务器账户密码等

3.Csrf一般功能

4.临时文件遍历

5.Phpinfo

重要业务:

100~200


一般业务:

10~50

 

App、miui:安卓客户端与服务端交互的漏洞符合web层业务的按web层的评分标准

级别

包含的漏洞

评分标准

严重

1.严重的逻辑可造成用户经济损失的漏洞

2.能获取系统root、权限的漏洞

3.远程命令执行漏洞

4.远程获取用户详细敏感信息的漏洞

 

 

重要业务:

10000~50000


一般业务:

5000~10000

高危

1.能够远程获取部分大量用户敏感信息的漏洞

2.对攻击者无利益价值但对用户有较大损失的漏洞

3.需要一定的交互逻辑,才能造成用户较大损失的漏洞

4.能获取system权限的漏洞

重要业务:

2000~4000


一般业务:

2000~3000

中危

1.需安装app   才能造成系统重启或部分功能拒绝服务等漏洞

2.通过劫持造成一般危害的漏洞

3.接口的逻辑漏洞可造成欺骗用户、钓鱼等漏洞

4.锁屏绕过

 

重要业务:

500~1000


一般业务:

200~500

低危

1.App的不安全配置

2.低危的信息泄露

3.需要较复杂鸡肋的环境、条件才能触发的漏洞

4.一般功能的劫持类漏洞

重要业务:

100~200


一般业务:

10-100

 

智能硬件:

级别

包含的漏洞

评分标准

严重

1.严重的逻辑可造成用户经济损失的漏洞

2.能获取系统root权限的漏洞

3.远程命令执行漏洞

4.远程获取用户详细敏感信息的漏洞

 

 

重要业务:

10000~50000


一般业务:

5000~10000

高危

1.局域网内的命令执行

2.能够获取用户敏感信息的漏洞

3.远程拒绝服务漏洞

 

重要业务:

5000~10000


一般业务:

2000~4000

中危

1.局域网内的拒绝服务

2.需要交互才能造成拒绝服务的漏洞

3.非重要功能的越权、逻辑漏洞等

4.需要较苛刻环境下才能触发的漏洞

重要业务:

1000~2000


一般业务:

800~1000

低危

1.不安全配置等

2.低危的信息泄露

重要业务:

200~500


一般业务:

100~200