小米安全中心
MiSRC漏洞奖励描述细化及调整公告
由 大西瓜 于
11:58:36 发表
1.月度奖励。奖励两项排行榜前3名白帽子。质量排名前3，漏洞数量排名前3。
第一名需提交高危以上漏洞3个
第二名需提交高危以上漏洞2个
第三名需提交高危以上漏洞1个
奖励分别为：
质量排名第一、数量排名第一的白帽子：小米电视 5199RMB
质量排名第二、数量排名第二的白帽子：小米6
质量排名第三、数量排名第三的白帽子：小米电饭锅 999RMB
如白帽子不需要该奖品，可转为金币。当月不满足高危条件的话，降级为排名以下的奖品。
如小明本月拿到了质量或者数量第一名，但是高危只满足一个，那么将会得到排名第三的礼品，以此类推。
2.对严重漏洞增加即时额外奖励，一般业务3000RMB~5000RMB的奖励，重要业务RMB的奖励，额外奖励将转为金币发放。
3.关于生态链上合作厂商的漏洞，目前只收取与小米业务信息相关的高危、严重漏洞，只要您能证明该漏洞与小米业务信息相关，均可按小米的一般业务进行评分。如漏洞为较严重的漏洞，但与小米业务无关的漏洞，按《小米生态链安全漏洞接受范围及评分标准》进行评分，生态链中的漏洞不计入额外奖励当中。
评分细则：
注意：本评分规则仅作为参考，漏洞的最终评分会按照漏洞的实际利用难度、业务特点、漏洞的影响等多维度综合评分。即当漏洞的危害证明能够达到高危或以上评分，会提升漏洞评级，当危害有限，利用限制较大时评分也会降级评分。小米安全中心拥有最终解释权。
重要业务：小米商城、米家商城、小米支付等
一般业务：如个别业务的系统运营平台、运维系统、业务分支系统、论坛社区等
级别包含的漏洞评分标准严重1.能够拿到系统权限，可直接危害内网的漏洞包括但不限于：命令执行、远程溢出等漏洞。2.能够获取大量小米用户明细信息的漏洞包括但不限于：订单遍历、SQL注入等3.涉及支付相关漏洞包括但不限于：严重的逻辑错误、能够大量获取利益造成公司、用户损失的漏洞4.危害小米账户体系的漏洞：如任意小米账户登录可获取用户详尽信息、登入小米云控制手机、用户支付等权限重要业务：一般业务：高危1.包括但不限于SQL注入2.个别活动、业务的逻辑漏洞如刷积分、刷红包，确实可获取一定利益的漏洞等。3.存储XSS且能获取完整cookie的漏洞4.弱口令或认证信息绕过进入后台，且业务中有实际性权限或敏感信息5.能够批量获取部分用户敏感信息的漏洞6.代码泄露可造成较大危害的漏洞7.可SSRF内网返回内网信息的漏洞8.通过一些用户交互才能登录个别小米账户的漏洞且具备实际用户操作权限。9.对于关键功能的具有大量破坏性的越权漏洞，如编辑、删除订单等重要业务：一般业务：600~2000中危1.较少的用户信息泄露2.存储xss，不能获取完整cookie的漏洞3.具有破坏性的越权漏洞，如编辑、删除评论、更改功能属性等4.文件包含、目录遍历、能查看到部分敏感信息的漏洞5.代码泄露，但无法利用的漏洞6.可SSRF内网，无回显或部分回显但未能获取信息或服务权限的漏洞7.Github中泄露了员工的邮箱、线上服务器账户密码等8.CSRF较重要功能9.短信轰炸重要业务：500~800一般业务：300~500低危1.反射xss2.Github中泄露了员工内网存活的测试服务器账户密码等3.Csrf一般功能4.临时文件遍历5.Phpinfo6.Url跳转7.邮件轰炸8.路径泄漏、调试信息泄露9.确认为漏洞，但有较大难度的漏洞10.Svn .git等泄露无敏感信息重要业务：100~200一般业务：10~50
重要业务如：小米商城、米家商城app、miui自身的漏洞（不包括第三方组件、安卓原生环境的漏洞）
一般业务如：小米社区、分支业务的app
客户端与服务端交互的漏洞符合web层业务的按web层的评分标准
针对于移动客户端或智能硬件的漏洞，增加对报告的详尽程度比例评分，分为3个等级：
1.低：报告只提供测试代码、无分析过程，无利用过程、无危害说明、无poc，exp的报告，评分比例0.0~0.3
2.中：报告有分析过程，但无poc,exp的报告，评分比例：0.4~0.7
3.高：报告完整，有测试代码，分析过程，利用方式说明，危害说明，并提供poc，exp的报告，评分比例0.8~1
最终的评分按漏洞评分乘以报告质量比例评分得出。
级别包含的漏洞评分标准严重1.严重的逻辑可造成用户经济损失的漏洞2.能获取系统root、权限的漏洞3.远程命令执行漏洞4.远程获取用户详细敏感信息的漏洞
重要业务：一般业务：高危1.能够远程获取部分大量用户敏感信息的漏洞2.对攻击者无利益价值但对用户有较大损失的漏洞3.需要一定的交互逻辑，才能造成用户较大损失的漏洞4.能获取system权限的漏洞5.系统级别的锁屏绕过（需测试最新开发版，且具备通用可复现）重要业务：一般业务：中危1.需安装app 才能造成系统重启或部分功能拒绝服务等漏洞2.通过劫持造成一般危害的漏洞3.接口的逻辑漏洞可造成欺骗用户、钓鱼等漏洞4.App级别的锁屏绕过 重要业务：500~1000一般业务：200~500低危1.App的不安全配置2.低危的信息泄露3.需要较复杂鸡肋的环境、条件才能触发的漏洞4.一般功能的劫持类漏洞重要业务：100~200一般业务：10-100
智能硬件：
重要业务：如流行的视频智能硬件、小米路由等
一般业务：如小米收音机、智能灯等小家电
级别包含的漏洞评分标准严重1.严重的逻辑可造成用户经济损失的漏洞2.远程能获取系统root权限的漏洞3.远程命令执行漏洞4.远程获取用户详细敏感信息的漏洞
重要业务：一般业务：高危1.局域网内的命令执行2.能够获取用户敏感信息的漏洞3.远程拒绝服务漏洞 重要业务：一般业务：中危1.局域网内的拒绝服务2.需要交互才能造成拒绝服务的漏洞3.非重要功能的越权、逻辑漏洞等4.需要较苛刻环境下才能触发的漏洞重要业务：一般业务：800~1000低危1.不安全配置等2.低危的信息泄露重要业务：200~500一般业务：100~200
无效漏洞：
无意义的CSRF攻击或危害相对降低的CSRF无敏感信息的临时文件利用难度较大，且危害相对较低的漏洞Selfxss内部已知漏洞，审核员会给出相关提案号以及部分漏洞信息证明版本过低，但无实际危害，或较难利用的系统组件相同参数或者对于同一个功能的多个请求，按一个收取评分有所提高，但其余的将忽略。分压的服务器按一个收取非安全性问题的bug没有实际安全影响的点击劫持本地客户端拒绝服务无较大意义的logcat其他您现在的位置： >
MIUI官方声明：无需Root 流氓软件随时删除
　　【安趣新闻组】3月17日讯：央视的315晚会曝光了智能手机预装恶意程序的行业内幕，目前行货手机已成恶意软件重灾区，一些公司和经销商选择行货手机预装恶意软件进行扣费和窃取隐私。其中一个细节值得注意，这些公司经过手机植入平台为合作商户为行货手机量身订作软件包，可以做到让用户想删都不能删。行货手机想删掉这些程序必须刷机，但刷机就要放弃质保。
　　随后，小米发布了官方声明，表示MIUI预装的软件均可以卸载，而且流氓软件零容忍，具体声明如下。
MIUI无需Root 流氓软件随时删除
　　MIUI官方声明：
　　为了谋利，预装软件一直都是Android手机行业的潜规则，除了国产小众品牌之外，一些著名品牌也多少存在着软件预装行为。这些预装软件，最好的情况是占用用户为数不多的存储空间，而且无法彻底删除，最坏的情况则可能导致用户短信、电话等隐私泄露，产生高额流量费用，甚至被订阅一些收费服务。
　　MIUI从发布以来，一直把用户体验放在首位，把应用软件的选择权交给用户，让用户来选自己最喜欢的软件。小米手机出厂时自带了QQ、微博等用户常用的精品软件，而且这些软件是可以随时删除。除此以外，MIUI始终坚持最纯净的Android ROM，不含任何对用户有危害的隐藏进程和应用软件，同时对防御和查杀病毒木马、网络流量控制和提醒、电话短信骚扰拦截、省电优化等方面做了全面的布防，可全面保障用户的隐私和安全。
　　MIUI一贯注重保护用户的安全和隐私，联手专业的安全厂商，开发了安全中心应用。
　　通过安全中心，可以实时监控手机的流量情况，并根据用户的套餐不同进行自由制订，在流量即时用完时提醒用户，防止产生高额流量费用，还可以全面控制各软件的联网情况，可以阻止任何应用联网。
　　此外，安全中心还具备骚扰拦截功能，对于广告、诈骗、中介等打扰用户的电话和短信进行拦截和提醒，智能过滤垃圾短信，还给用户一个清静安全的使用环境。
　　数款知名应用曾在不久前遭到一款名为&暗箭刺客&的病毒&暗杀&，只要锁屏就会被删除，MIUI是最早发现并成功查杀此病毒的Android ROM，这个功能就依赖于安全中心的病毒扫描功能。该功能可以在软件安装前就发现问题，提醒用户不要安装并清除，以保证手机的安全。此外，它还可以扫描手机上已经安装的应用，并清除含有恶意行为的软件。
　　无独有偶，MIUI的系统组件之一，小米应用商店也曾遭360手机助手&暗杀&。去年9月27日，小米发布声明，因360手机助手强行诱导用户卸载小米应用商店等产品，小米应用商店决定下架所有360产品。随后，联想也宣布在应用商店全线下架所有360产品，酷派、华为等多家主流厂商企业跟进。同时，百度与搜狗分别起诉360不正当竞争，受多种事情的影响，360的股价暴跌了4.77%。
　　MIUI中的&小米应用商店&并非是预装软件，而是一个与MIUI系统紧密结合的系统组件，在于让用户更加快捷方便、安全高效地下载软件，并采用增量升级等技术减少用户的流量消耗，真正地给用户带来实惠。比如，一款软件的大小为20MB，更新后的体积可能会增长到30MB，通过小米应用商店下载时只需要消耗7、8MB即可完成更新。
　　预装软件的手机，如果不获取&Root&权限，是无法根除这些既占空间，又可能给用户带来隐私和安全行为的软件，但是&Root&之后则会产生一些新的安全问题。因此，MIUI安全中心还具有&Root&权限管理功能，用户可以在这里控制每一个软件的权限，在必要的时候还可以禁止这些软件自动启动，最大限度保证用户的手机控制权。
　　在保障用户安全和隐私的同时，MIUI安全中心还为用户提供了&垃圾清理&和&省电优化&两大利器，可以帮助用户清除应用软件产生的缓存和无用文件，释放用户的手机空间，同时根据使用场景，智能关掉移动网络、WiFi等耗电功能，最大程度提高手机的电量续航。
相关阅读：
相关文章：小米手机 MIUI MIUI Root
图解新闻：
最新攻略：
24小时更新：
热门排行本周本月
推荐文章本周本月手机管家，系统自带安全中心就够了！
我的图书馆
手机管家，系统自带安全中心就够了！
还在抱怨手机经常卡卡的吗？还在到处找什么手机安全管家软件好用吗？其实你忽略了小米自带的安全中心，那不是是个摆设，除了精准的判断你的手机健康度，也在一直保护着你的手机各项安全以及记录各种数据！呵护好自己的手机不只是外表的，更需要对手机的了解，以此为基础让手机保持着良好的运行状态！自带的安全中心，你用透没有？ 前言：从MIUI的一步步进步，一步步的优化，确实给用户带来了无数便利，无论是手机本身的优化，还是对拓展功能更是贴近生活。MIUI的进步从没停止过，今天我给大家分享我对自带安全中心的看法以及一些具体使用！ ▲打开安全中心，显而易见就是手机体检。会根据你的手机各种运行状态或者硬件数据来给你评定分数，从而给你最合适的推荐来让你的设备达到最安全、运行最流畅。其实本来也很懒，也不是天天体检，大家不要学我哈，勤体检，让你的设备更健康。扫描完之后，会有自动优化项跟手动优化项，手动优化的大家自己自行选择优化即可。 ▲小米自带安全中心有六大子模块：垃圾清理、网络助手、骚扰拦截、省电优化、病毒扫描、授权管理。每个模块都可能设计到你的手机健康度，所以还是要多注意这些细节功能哟。一个一个介绍，垃圾清理模块就是清理一些缓存数据以及垃圾文件或者各种广告无效文件，你要知道有时候16G内存还是听郁闷的，随随便便内存就被塞满了，而且都不知道什么东西塞满了你的手机。清理的时候，手机会给出具体数据，定时清理手机垃圾这个习惯是非常好的。 ▲有好几个同学跟我说，清理垃圾的时候也会清理到一些有用的数据，在上面那个图我标注的地方点下，可以出现如图界面，可以将你不需要清理的文件存放点拉近白名单，这样就不会担心你的有用数据被清理掉了，这清理设置里面有你自己添加的白名单管理以及一些附属选项。清理库还是设置成自动更新比较好，不会消耗多少流量的。也可以设置定时清理频率以及你的垃圾文件达到多大内存时的提醒，一句个人要求来具体设置下！ ▲网络助手模块，这里会记录和管理你的手机各种使用流量状态以及具体设置！设置好你的手机流量套餐，主界面会有几个子板块，每个应用软件的联网控制，也就是可以设置你的哪些软件可以使用流量或者使用WIFI。每个软件都可以进行独自的设置，以防软件会消耗很多流量。当然啦，系统也会记录帮你节省了多少流量，也可以进行省流量优化哟。以及看得到具体到每个软件的省流量情况。 ▲除了让用户可以直观的看到每日流量排行，也可以根据你自己的流量套餐来设置每日的流量限额，特别关注自己流量使用情况的同学也可以设置锁屏流量使用提醒，超过每日限额会自动断网，以及设置后台每个软件的后天流量使用开关。 ▲骚扰拦截：有时候各种推销电话、各种诈骗电话，MIUI除了可以智能识别号码，也可以将这些讨厌的号码智能拦截或者自己给拉黑。可以自定义拦截规则、以及拦截模式。有拦截时，系统会有震动反应，在通知栏的安全中心状态里面也会有标识提醒。很多的自定义选项给你的选择更多。再也不用担心各种骚扰电话跟信息了。 ▲省电优化：可以看到手机和管理电量使用情况，可以设置手机电量的显示方式，也可以帮你推荐最适合你的省点模式。比如你可以选择低电量的时候开启省电模式，或者根据使用状况和数据使用需求来设置省电模式开启。每种省电模式都可以看到每个模式的具体对设备那些开关做了更改。 ▲也可以让你了解到你的设备是哪些硬件以及软件在耗电，屏幕跟系统当然是主力军咯，毕竟是手机核心装置。如果你有定时开关机的习惯，也可以进行设置。也可以查看电池的状态的，涉及电池的温度、电压以及电池技术、使用时间等一些具体数据。方便更好的了解你的电池信息。 ▲病毒扫描：这个模块大家一定要时刻关注着，特别是有重大病毒来袭时，更要经常去检测下你的设备，让一些木马病毒以及风险应用无处藏身。安装软件时也会触发安装监控，检测安装的软件安全性。有任何风险的时候，及时处理掉，保证自己的设备安全！ ▲授权管理：也就是授权各种应用权限。对于每个应用的权限监控一定要打开，对于自启动管理，如果你不常用的软件，就不要开启了，可能会影响开机速度以及一些后台问题。 ▲对于具体每个应用的权限设置以及管理，大家可以按需设置，对于ROOT权限设置重点说说，之前刷成开发板就直接会有ROOT权限。现在的MIUI改了，需要下载个几百K的文件然后进行ROOT，才能使用。给软件授予ROOT权限，每一步都会系统提示重要提醒的。如果是ROOT小白，可以在论坛找找使用教程、或者使用方法！总结：不用找什么第三方管家！自带的就足够强大。用自带的安全中心让你的手机更健康、更持久！！
TA的最新馆藏[转]&[转]&[转]&[转]&[转]&[转]&
喜欢该文的人也喜欢