系统公告
back

MiSRC漏洞奖励描述细化及调整公告

由 大西瓜 于2017-08-07 11:58:36发表

1.月度奖励。奖励两项排行榜前3名白帽子。质量排名前3,漏洞数量排名前3。

第一名需提交高危以上漏洞3个

第二名需提交高危以上漏洞2个

第三名需提交高危以上漏洞1个

奖励分别为:

质量排名第一、数量排名第一的白帽子:小米电视 5199RMB

质量排名第二、数量排名第二的白帽子:小米6  2899RMB

质量排名第三、数量排名第三的白帽子:小米电饭锅 999RMB

 

如白帽子不需要该奖品,可转为金币。当月不满足高危条件的话,降级为排名以下的奖品。

如小明本月拿到了质量或者数量第一名,但是高危只满足一个,那么将会得到排名第三的礼品,以此类推。

 

2.对严重漏洞增加即时额外奖励,一般业务3000RMB~5000RMB的奖励,重要业务5000~10000RMB的奖励,额外奖励将转为金币发放。

 

3.关于生态链上合作厂商的漏洞,目前只收取与小米业务信息相关的高危、严重漏洞,只要您能证明该漏洞与小米业务信息相关,均可按小米的一般业务进行评分。如漏洞为较严重的漏洞,但与小米业务无关的漏洞,按《小米生态链安全漏洞接受范围及评分标准》进行评分,生态链中的漏洞不计入额外奖励当中。

 

评分细则:

注意:本评分规则仅作为参考,漏洞的最终评分会按照漏洞的实际利用难度、业务特点、漏洞的影响等多维度综合评分。即当漏洞的危害证明能够达到高危或以上评分,会提升漏洞评级,当危害有限,利用限制较大时评分也会降级评分。小米安全中心拥有最终解释权。

 

Web:

重要业务:小米商城、米家商城、小米支付等

一般业务:如个别业务的系统运营平台、运维系统、业务分支系统、论坛社区等

级别

包含的漏洞

评分标准

严重

1.能够拿到系统权限,可直接危害内网的漏洞包括但不限于:命令执行、远程溢出等漏洞。

2.能够获取大量小米用户明细信息的漏洞包括但不限于:订单遍历、SQL注入等

3.涉及支付相关漏洞包括但不限于:严重的逻辑错误、能够大量获取利益造成公司、用户损失的漏洞

4.危害小米账户体系的漏洞:如任意小米账户登录可获取用户详尽信息、登入小米云控制手机、用户支付等权限

重要业务:

10000~20000


一般业务:

4000~10000


高危

1.包括但不限于SQL注入

2.个别活动、业务的逻辑漏洞如刷积分、刷红包,确实可获取一定利益的漏洞等。

3.存储XSS且能获取完整cookie的漏洞

4.弱口令或认证信息绕过进入后台,且业务中有实际性权限或敏感信息

5.能够批量获取部分用户敏感信息的漏洞

6.代码泄露可造成较大危害的漏洞

7.可SSRF内网返回内网信息的漏洞

8.通过一些用户交互才能登录个别小米账户的漏洞且具备实际用户操作权限。

9.对于关键功能的具有大量破坏性的越权漏洞,如编辑、删除订单等

重要业务:

2000~3000


一般业务:

600~2000


中危

1.较少的用户信息泄露

2.存储xss,不能获取完整cookie的漏洞

3.具有破坏性的越权漏洞,如编辑、删除评论、更改功能属性等

4.文件包含、目录遍历、能查看到部分敏感信息的漏洞

5.代码泄露,但无法利用的漏洞

6.可SSRF内网,无回显或部分回显但未能获取信息或服务权限的漏洞

7.Github中泄露了员工的邮箱、线上服务器账户密码等

8.CSRF较重要功能

9.短信轰炸

重要业务:

500~800


一般业务:

300~500


低危

1.反射xss

2.Github中泄露了员工内网存活的测试服务器账户密码等

3.Csrf一般功能

4.临时文件遍历

5.Phpinfo

6.Url跳转

7.邮件轰炸

8.路径泄漏、调试信息泄露

9.确认为漏洞,但有较大难度的漏洞

10.Svn .git等泄露无敏感信息

重要业务:

100~200


一般业务:

10~50


 

重要业务如:小米商城、米家商城app、miui自身的漏洞(不包括第三方组件、安卓原生环境的漏洞)

一般业务如:小米社区、分支业务的app

 

客户端与服务端交互的漏洞符合web层业务的按web层的评分标准

 

针对于移动客户端的漏洞,增加对报告的详尽程度比例评分,分为3个等级:

1.低:报告只提供测试代码、无分析过程,无利用过程、无危害说明、无poc,exp的报告,评分比例0.0~0.3

2.中:报告有分析过程,但无poc,exp的报告,评分比例:04~0.7

3.高:报告完整,有测试代码,分析过程,利用方式说明,危害说明,并提供poc,exp的报告,评分比例0.8~1

最终的评分按漏洞评分乘以报告质量比例评分得出。

 

级别

包含的漏洞

评分标准

严重

1.严重的逻辑可造成用户经济损失的漏洞

2.能获取系统root、权限的漏洞

3.远程命令执行漏洞

4.远程获取用户详细敏感信息的漏洞

 

 

重要业务:

10000~30000


一般业务:

5000~10000


高危

1.能够远程获取部分大量用户敏感信息的漏洞

2.对攻击者无利益价值但对用户有较大损失的漏洞

3.需要一定的交互逻辑,才能造成用户较大损失的漏洞

4.能获取system权限的漏洞

5.系统级别的锁屏绕过(需测试最新开发版,且具备通用可复现)

重要业务:

2000~4000


一般业务:

2000~3000


中危

1.需安装app 才能造成系统重启或部分功能拒绝服务等漏洞

2.通过劫持造成一般危害的漏洞

3.接口的逻辑漏洞可造成欺骗用户、钓鱼等漏洞

4.App级别的锁屏绕过

 

重要业务:

500~1000


一般业务:

200~500


低危

1.App的不安全配置

2.低危的信息泄露

3.需要较复杂鸡肋的环境、条件才能触发的漏洞

4.一般功能的劫持类漏洞

重要业务:

100~200


一般业务:

10-100


 

 

智能硬件:

重要业务:如流行的视频智能硬件、小米路由等

一般业务:如小米收音机、智能灯等小家电

 

级别

包含的漏洞

评分标准

严重

1.严重的逻辑可造成用户经济损失的漏洞

2.能获取系统root权限的漏洞

3.远程命令执行漏洞

4.远程获取用户详细敏感信息的漏洞

 

 

重要业务:

10000~50000


一般业务:

5000~10000


高危

1.局域网内的命令执行

2.能够获取用户敏感信息的漏洞

3.远程拒绝服务漏洞

 

重要业务:

5000~10000


一般业务:

2000~4000


中危

1.局域网内的拒绝服务

2.需要交互才能造成拒绝服务的漏洞

3.非重要功能的越权、逻辑漏洞等

4.需要较苛刻环境下才能触发的漏洞

重要业务:

1000~2000


一般业务:

800~1000


低危

1.不安全配置等

2.低危的信息泄露

重要业务:

200~500


一般业务:

100~200



 

无效漏洞:

  1. 无意义的CSRF攻击或危害相对降低的CSRF

  2. 无敏感信息的临时文件

  3. 利用难度较大,且危害相对较低的漏洞

  4. Selfxss

  5. 内部已知漏洞,审核员会给出相关提案号以及部分漏洞信息证明

  6. 版本过低,但无实际危害,或较难利用的系统组件

  7. 相同参数或者对于同一个功能的多个请求,按一个收取评分有所提高,但其余的将忽略。

  8. 分压的服务器按一个收取

  9. 非安全性问题的bug

  10. 没有实际安全影响的点击劫持

  11. 其他