Project 【第五期】小米金融贷款业务安全众测 End
Total Prize(¥) 100000
Begin/End Time 2019-04-29 00:00:002019-05-29 00:00:00
本期众测项目小米贷款业务是小米金融重要业务之一。小米贷款日利率低至0.02%,随借随还,认证快,急速放款。贷款、分期购,米粉生活全覆盖,全方面风控保障,费用透明等特点深受广大用户喜爱。

测试时间

2019年4月29~2019年5月29日

测试范围

测试系统包括小米金融app、小米借条app、小米贷款app(安卓,IOS)、微信公众号、h5页面等
本次众测重点测试小米贷款相关业务如借钱、分期、贷款等功能

域名范围

*.jr.mi.com

评分标准

针对小米金融贷款重点业务评分如下:
| 漏洞级别  | 奖励                       | 说明                                                                                   |
| 严重         | 10000~20000rmb  | 如获取服务器权限、严重的逻辑错误可无成本无限刷钱等 |
| 高危         | 5000~8000rmb      | 如sql注入、用户完整敏感信息遍历(电话、身份证、订单详情等)、有条件限制的逻辑错误可造成用户、公司财产较大损失的漏洞 |
| 中危         | 1000~2000rmb      | 如一般用户属性的越权类漏洞、存储xss、活动等有条件限制的刷奖励、部分用户个人信息遍历(只有电话、邮箱等)等 |
| 低危         | 100~500奖励         | 不太敏感或不完整的用户信息泄露(只有姓名、或者数据已经打码)、有实际影响的不安全配置、无法造成用户损失危害较低的逻辑漏洞 |
| 无效         | 0                         | 无实际影响的不安全配置、无敏感信息的服务器报错信息、logcat、版本较低、第三方组件类漏洞、不在测试范围内的漏洞、危害较低的CSRF漏洞、无实际影响的活动薅羊毛教程等 |

其他说明

奖金池总额10万的奖励,超出此范围后,会停止众测。
小米金融旗下其他业务如保险、理财等业务在*.jr.mi.com的漏洞按照misrc重点业务双倍奖励。
移动端客户端的漏洞按照misrc移动端客户端评分重点业务双倍奖励。
misrc评分参考地址:https://sec.xiaomi.com/post/82

注意事项和争议解决方案

本次重点测试为小米贷款相关业务,报告后会转交业务确认,归属为小米贷款的业务按本次众测评分,属于小米金融相关业务但非小米小贷的业务按misrc评分双倍奖励。
在测试app范围,但不属于小米金融的业务如小米商城、小米有品等不参与本次众测
评分规则按照misrc评分标准进行评分。不在评分标准范围内有争议的漏洞,依照漏洞对用户信息安全影响程度进行评分,如不影响用户信息安全一律按照低危进行评分,如ddos。
有部分内部测试已经发现的漏洞尚未完成修复,如与内部漏洞重复,审核员会给出内部测试的报告内容。
小米公司对本次众测有最终解释权。

—   联系我们   —

新浪微博

公众号