公告
back

MiSRC漏洞奖励描述细化及调整公告

由 大西瓜 于 2017-08-07 11:58:36 发表

2018年6月14日更新评分规则。主要更新部分漏洞评分细则、生态链评分描述等。月度排名奖励,按照月度活动进行

1.对严重漏洞增加即时额外奖励,一般业务3000RMB~5000RMB的奖励,重要业务5000~10000RMB的奖励,额外奖励将转为金币发放。

 

2.关于生态链上合作厂商的漏洞,目前只收取与小米业务信息相关漏洞,评分会按信息相关的程度,按《小米生态链安全漏洞接受范围及评分标准》进行评分,生态链中的漏洞不计入额外奖励当中。对于生态链上厂商与小米信息无关的漏洞,我们将表示感谢,并积极友情传达给生态链合作厂商要求其修复。


 

评分细则:

注意:本评分规则仅作为参考,漏洞的最终评分会按照漏洞的实际利用难度、业务特点、漏洞的影响范围等多维度综合评分。即当漏洞的危害证明能够达到高危或以上评分,会提升漏洞评级,当危害有限,利用限制较大时评分也会降级评分。漏洞的深入利用,请联系小米安全工作人员协商。部分从技术理论上可行的漏洞报告,但无深入证明的报告,小米安全工作人员会进行内部测试来确认漏洞的危害。小米安全中心拥有最终解释权。


Web:

重要业务:小米商城、米家商城、小米支付等

一般业务:如个别业务的系统运营平台、运维系统、业务分支系统、论坛社区等

级别

包含的漏洞

评分标准

严重

1.能够拿到对外服务系统权限,可直接危害内网的漏洞包括但不限于:命令执行、远程溢出等漏洞。

2.能够获取大量小米用户明细信息的漏洞包括但不限于:订单遍历、SQL注入等

3.涉及支付相关漏洞包括但不限于:严重的逻辑错误、能够大量获取利益造成公司、用户损失的漏洞

4.危害小米账户体系的漏洞:如任意小米账户登录可获取用户详尽信息、登入小米云控制手机、用户支付等权限

重要业务:

10000~20000


一般业务:

4000~10000


高危

1.包括但不限于SQL注入

2.个别活动、业务的逻辑漏洞如刷积分、刷红包,确实可获取较高利益的漏洞等。

3.弱口令或认证信息绕过进入后台,且业务中有实际性权限或敏感信息

4.能够大量获取部分用户敏感信息的漏洞

5.代码泄露可造成较大危害的漏洞

6.可SSRF内网,支持多种协议,可获取内网权限的漏洞

7.通过一些用户交互才能登录个别小米账户的漏洞且具备实际用户操作权限。

8.可通过逻辑漏洞获取大量有效用户信息的设计缺陷类漏洞等

重要业务:

2000~3000


一般业务:

600~2000


中危

1.较少的用户信息泄露

2.存储xss

3.具有破坏性的越权漏洞,如编辑、删除评论、更改功能属性等

4.文件包含、目录遍历、能查看到部分敏感信息的漏洞

5.代码泄露,有较敏感信息但未成功利用的漏洞

6.可SSRF内网,无回显或部分回显但未能获取信息或服务权限的漏洞

7.Github中泄露了员工的邮箱、线上服务器账户密码等

8.CSRF较重要功能


重要业务:

500~800


一般业务:

300~500


低危

1.反射xss

2.Github中泄露了员工内网存活的测试服务器账户密码等

3.Csrf一般功能

4.临时文件遍历

5.Phpinfo

6.Url跳转

7.邮件轰炸

8.短信轰炸

9.路径泄漏、调试信息泄露

10.确认为漏洞,但有较大难度的漏洞

11.Svn .git等泄露无敏感信息

重要业务:

100~200


一般业务:

10~50


 

重要业务如:小米商城、米家商城app、miui自身的漏洞(不包括第三方组件、安卓原生环境的漏洞)

一般业务如:小米社区、分支业务的app

 

客户端与服务端交互的漏洞符合web层业务的按web层的评分标准

 

针对于移动客户端或智能硬件的漏洞,增加对报告的详尽程度比例评分,分为3个等级:

1.低:报告只提供测试代码、无分析过程,无利用过程、无危害说明、无poc,exp的报告,评分比例0.0~0.3

2.中:报告有分析过程,但无poc,exp的报告,评分比例:0.4~0.7

3.高:报告完整,有测试代码,分析过程,利用方式说明,危害说明,并提供poc,exp的报告,评分比例0.8~1

最终的评分按漏洞评分乘以报告质量比例评分得出。

 

级别

包含的漏洞

评分标准

严重

1.严重的逻辑可造成用户经济损失的漏洞

2.能获取系统root、权限的漏洞

3.远程命令执行漏洞

4.远程获取用户详细敏感信息的漏洞

 

 

重要业务:

10000~20000


一般业务:

5000~10000


高危

1.能够远程获取部分大量用户敏感信息的漏洞

2.对攻击者无利益价值但对用户有较大损失的漏洞

3.需要一定的交互逻辑,才能造成用户较大损失的漏洞

4.能获取system权限的漏洞

5.系统级别的锁屏绕过(需测试最新开发版,且具备通用可复现)

重要业务:

2000~4000


一般业务:

2000~3000


中危

1.需安装app 才能造成系统重启或部分功能拒绝服务等漏洞

2.通过劫持造成一般危害的漏洞

3.接口的逻辑漏洞可造成欺骗用户、钓鱼等漏洞

4.App级别的锁屏绕过

 

重要业务:

500~1000


一般业务:

200~500


低危

1.App的不安全配置(利用难度较大或无较大影响的问题将忽略)

2.低危的信息泄露

3.需要较复杂鸡肋的环境、条件才能触发的漏洞

4.一般功能的劫持类漏洞

重要业务:

100~200


一般业务:

10-100


 

 

智能硬件:

重要业务:如流行的视频智能硬件、小米路由等

一般业务:如小米收音机、智能灯等小家电


智能硬件漏洞受漏洞的利用难度、利用条件、影响范围、使用场景等因素限制,当漏洞达到危害影响,但需要较苛刻的利用条件、或者利用场景时,按照漏洞实际影响进行上下幅度或漏洞等级进行评分。


 

级别

包含的漏洞

评分标准

严重

1.严重的逻辑可造成用户经济损失的漏洞

2.远程能获取系统root权限的漏洞

3.远程命令执行漏洞

4.远程获取用户详细敏感信息的漏洞

 

 

重要业务:

10000~20000


一般业务:

5000~10000


高危

1.局域网内的命令执行

2.能够获取用户敏感信息的漏洞

3.远程拒绝服务漏洞

 

重要业务:

5000~10000


一般业务:

2000~4000


中危

1.局域网内的拒绝服务

2.需要交互才能造成拒绝服务的漏洞

3.非重要功能的越权、逻辑漏洞等

4.需要较苛刻环境下才能触发的漏洞

重要业务:

1000~2000


一般业务:

800~1000


低危

1.不安全配置(利用难度较大或无较大影响的问题将忽略)

2.低危的信息泄露

重要业务:

200~500


一般业务:

100~200



 

无效漏洞:

  1. 无意义的CSRF攻击或危害相对降低的CSRF

  2. 无敏感信息的临时文件

  3. 利用难度较大,且危害相对较低的漏洞

  4. Selfxss

  5. 内部已知漏洞,审核员会给出相关提案号以及部分漏洞信息证明

  6. 版本过低,但无实际危害,或较难利用的系统组件

  7. 相同参数或者对于同一个功能的多个请求,按一个收取评分有所提高,但其余的将忽略。

  8. 分压的服务器按一个收取

  9. 非安全性问题的bug

  10. 没有实际安全影响的点击劫持

  11. 本地客户端拒绝服务

  12. 无较大意义的logcat

  13. 其他