这次我们来真的,有奖!有奖!有奖!
作者: 日期:2018年05月17日 阅:2,075

前言

孟夏之日,万物并秀,CarSRC经新生、萌发、养护,也终于到了正式发布的时刻。

规则

为规范我们的标准,我们此次发布了正式版的《汽车产业网络空间安全应急响应中心运营规则V1.0》,具体内容请拉到文章最后查看哦。

在试运行1个月中,我们已经获得猥琐菜鸟、v清风、carry_your等各位白帽子们的支持,目前我们总共收到了百余个漏洞(其中严重20多个,高危30多个)。那么,期待已久的排行榜也随之揭晓,请往下看。

然而我知道你们又要来问我问题了

是不是要来问我挖前要不要买车!

是不是要又要来问我漏洞范围!

是不是还要问我礼品有没有车!

哈哈哈哈哈哈哈哈!

好了,话不多说,上彩弹内容

 

此次我们会在六月一日当天从所有关注我们CarSRC微信公众号的小伙伴们中抽取9位幸运朋友,收到小姐姐的祝福加面值100的京东卡一张哟!

附:

汽车产业网络空间安全应急响应中心

运营规则

 

 

 

 

 

编写人 汽车产业网络空间安全应急响应中心
版本号 V1.0
最后更新时间 2018.5

 

 

  1. CarSRC简介

汽车产业网络空间安全应急响应中心(简称CarSRC),连接·联合 保护你的每一次出行。我们致力于连接安全专家和汽车厂家之间的关系,并在主管部门的指导下联合安全专家、安全厂商及汽车厂家的力量,建立应急响应平台,为汽车产业网络空间安全保障工作做出努力。

CarSRC,汽车产业网络安全的开拓者,肩负着汽车产业的安全漏洞、黑客入侵的发现和处理工作;我们与安全专家们并肩而行,守护和捍卫全球亿万用户的出行安全。

我们诚邀安全专家向我们反馈在汽车产业挖掘发现的网络安全漏洞。对于帮助提升汽车产业网络空间安全的安全专家,我们将给予您感谢和回馈。欢迎发送邮件到bug@carsrc.org向我们反馈您所挖掘到的安全漏洞。

 

  1. 基本原则
  • CarSRC非常重视车联网产品和业务的安全问题,我们承诺,每一位报告者反馈的问题都有专人进行跟进、分析和处理,并及时给予答复。
  • CarSRC承诺,对于每一位为汽车产业提升安全防护、保护用户利益的安全专家,我们将给予感谢和回馈。
  • CarSRC严格禁止一切以漏洞测试为借口,利用安全漏洞进行破坏、损害用户利益的黑客行为。
  • CarSRC严格禁止一切利用安全漏洞恐吓用户、攻击竞争对手的行为。
  • CarSRC严禁在漏洞发现和测试、验证过程中获取数据超过25条(含)。
  • CarSRC严禁在漏洞发现和测试、验证过程中增加、删除、修改用户文件、目录、数据库内容、结构。
  • CarSRC希望各企业和安全研究者一起加入到守护和捍卫全球亿万用户的出行安全过程中来,一起为建设安全可靠的出行环境安全而努力。
  1. 适用范围

本流程适用于CarSRC平台所收到的所有安全漏洞。

 

  1. 实施日期

本文档自发布之日起一周后实行。

 

  1. 评分标准

安全漏洞主要包含两大部分的内容:互联网漏洞、车辆制造系统和车机端漏洞。分别描述其评分标准。

  • 互联网漏洞评分标准

根据漏洞危害程度将漏洞等级分为严重、高危、中危、低危、无五个等级,每个等级评分如下:

【严重】:

  1. 直接获取核心系统权限漏洞,包括但不限于任意代码执行、远程命令执行、任意文件上传获取webshell、缓冲区溢出、SQL注入获取系统权限漏洞等。
  2. 核心系统业务逻辑漏洞,包括但不限于交易支付逻辑漏洞,获取任意账号管理权限漏洞,核心接口逻辑校验漏洞等。
  3. 核心业务数据泄露漏洞,包括但不限于核心DB的SQL注入漏洞,可获取大量用户身份信息,订单信息、资金交易信息的接口权限校验漏洞等。
  4. 可致核心业务系统瘫痪的拒绝服务漏洞。

 

【高危】:

  1. 重要接口权限失效,包括但不限于越权增删改查其他用户资源信息、未授权访问重要系统后台、重要系统任意文件读取和下载漏洞等。
  2. 敏感信息泄露漏洞,包括但不限于重要后台账号密码泄露(包含弱口令)、重要系统源代码泄露、非核心DB的SQL注入漏洞等。
  3. 具有一定影响力的核心业务漏洞,包括但不限于易于利用的存储XSS漏洞。

 

【中危】:

  1. 非核心业务的普通越权操作。
  2. 需要用户交互方可影响的漏洞,包括但不限于反射型XSS,敏感操作的CSRF漏洞等。

 

【低危】:

  1. 需要用户交互方可影响的漏洞,包括但不限于反射型XSS(同一个应用由于同一原因造成多个XSS漏洞算作一个)。
  2. 普通的信息泄露,包括但不限于客户端明文密码存储等。
  3. URL跳转漏洞。
  4. 确定存在,但是无法实际利用的漏洞。包括但不限于无法获取数据的SQL注入点等。

 

【无】:

  1. 轻微的信息泄露,包括但不限于网站路径信息,banner信息,SVN信息,phpinfo信息等。
  2. 需要用户交互方可影响的漏洞,包括但不限于非敏感操作的CSRF。
  3. 不涉及安全问题的功能缺陷。包括但不限于页面乱码,静态资源文件遍历,页面样式不兼容,测试页面等。
  4. 未经验证的扫描器扫描结果,无意义的源码泄漏,内网IP/域名泄漏等。
  5. 无法复现,或者不能反映出漏洞影响的问题。

 

  • 车辆制造系统漏洞评分标准

根据漏洞危害程度将漏洞等级分为严重、高危、中危、低危四个等级,每个等级评分如下:

【严重】:

  1. 获取核心系统权限漏洞,包括但不限于任意代码执行、远程命令执行、缓冲区溢出等漏洞,导致大量核心生产数据泄露,生产链路控制等。
  2. 核心业务数据泄露漏洞,包括但不限于核心系统账号泄露(包含弱口令)、核心接口权限失效等漏洞,导致客户数据、厂商生产数据、重要零部件设计数据等泄露。
  3. 可致核心业务系统瘫痪的拒绝服务漏洞,导致生产链路中断。

 

【高危】:

  1. 重要接口权限失效,包括但不限于未授权访问重要系统后台、重要系统任意文件读取和下载漏洞等。
  2. 敏感信息泄露漏洞,包括但不限于重要后台账号密码泄露、重要系统源代码泄露等。

 

【中危】:

  1. 非核心业务的普通权限操作漏洞。
  2. 普通的信息泄露。

 

【低危】:

  1. 轻微的信息泄露。
  2. 确定存在,但是无法实际利用的漏洞。包括但不限于无法获取敏感数据的接口权限漏洞等。

 

  • 车机端漏洞评分标准

根据漏洞危害程度将漏洞等级分为严重、高危、中危、低危四个等级,每个等级评分如下:

【严重】

1.远程获取车载网关、T-BOX、远程诊断系统、车载娱乐系统等系统特权,导致获取车内关键组件单元(底盘控制系统、高级辅助驾驶系统等)的控制权的漏洞。包括但不限于远程命令执行,任意代码执行等漏洞。

2.关键车载设备的远程拒绝服务漏洞,包括不限于以下设备:底盘控制系统,远程诊断系统、气囊系统、动力系统、ADAS高级辅助驾驶系统、雷达系统、胎压检测系统等。

3.远程未授权刷新汽车关键组件单元固件,例如T-BOX、车载网关等固件。

注:远程指的是通过4G、WIFI、蓝牙、NFC和RFID等非物理接触方式。

【高危】

1.远程获取重要组件单元的系统特权,如车身控制系统(仪表盘、舒适系统、灯光控制系统以及防盗系统等)。包括但不限于远程命令执行,任意代码执行等漏洞。

2.非关键车载设备的拒绝服务漏洞,如车身控制系统(仪表盘、舒适系统、灯光控制系统以及防盗系统等)。

3.本地通过OBD等接口获取车载网关、T-BOX、远程诊断系统、车载娱乐系统等系统特权,导致获取车内关键组件单元(底盘控制系统、雷达系统、高级辅助驾驶系统等)的控制权的漏洞。

【中危】

1.通过车载娱乐系统等获取车辆及用户敏感信息,如用户身份信息、车辆标识信息、行车记录信息等敏感信息。

2.一般车载设备的拒绝服务漏洞,如定位系统、车载娱乐系统、舒适系统、电池管理、疲劳监测系统、雷达系统等。

【低危】

1.绕过系统安全访问限制,但未造成实际危害的漏洞。

2.通过车辆组件单元漏洞获取车辆及用户非敏感信息,如耗油量、胎压、车辆运行数据等信息。

 

  1. 奖励发放标准
    • 安全币换算

安全币=基础安全币*应用系数

安全币换算比例:

1安全币=10RMB

 

  • 互联网漏洞奖励标准

基础安全币:

严重(10-9),高危(8-6),中危(5-3),低危(2-1)

应用系数:

核心/厂商(10),一般/厂商(4),边缘/厂商(1),微小应用/厂商(0.5)

例如:某大型车企核心应用任意文件上传获取系统权限漏洞,计算方法为:

安全币100=基础安全币(严重:10)*应用系数(核心:10)

 

安全币对应表:

应用系数/安全币 严重漏洞

(10-9)

高危漏洞

(8-6)

中危漏洞

(5-3)

低危漏洞

(2-1)

核心应用/厂商(10) 100-90 80-60 50-30 20-10
一般应用/厂商(4) 40-36 32-24 20-12 8-4
边缘应用/厂商(1) 10-9 8-6 5-3 2-1
微小应用/厂商(0.5) 4 3 2 1

 

  • 车辆制造系统和车机端漏洞奖励标准

基础安全币:

严重(100-50),高危(40-10),中危(9-5),(低危3-1)

应用类型:

大型厂商(10),小众厂商(4)

应用类型/安全币 严重漏洞

(100-50)

高危漏洞

(40-10)

中危漏洞

(9-5)

低危漏洞

(3-1)

大型厂商(10) 1000-500 400-100 90-50 30-10
小众厂商(4) 400-200 160-40 36-20 12-4

厂商类型以应用量为准。

 

额外奖励:

对于影响巨大的车辆制造系统和车机端的漏洞,CarSRC会额外给予2万-5万RMB奖励,并且 CarSRC会以漏洞报告者的名义向该组件官方发出报告,帮助其改进软件安全性。

 

  • 其他奖励

为感谢您对汽车产业网络空间安全做出的贡献,CarSRC将不定期举行活动,用以增加白帽子的活跃度,活动形式多样,不限于以下形式:安全沙龙、礼品发放、礼品卡、现金红包等。活动的举办将通过CarSRC公告,敬请留意。

  • 常规奖励

我们会根据每位用户提交审核通过的不同级别的漏洞,设置每个级别对应的奖励。

  • 季度奖励

在每个季度结束后15个工作日内发布奖励公告,20个工作日内发放奖励。

该部分奖励是对每季度对CarSRC有突出贡献的安全专家奖励,奖励评判标准如下:

 

名次(季度) 奖励 说明 备注
第一名 3000 RMB 该季度内每月至少提交一个高危漏洞 不满足要求则名次后延
第二名 2000 RMB 该季度内至少提交一个高危漏洞
第三名 1000 RMB

当季度提交漏洞中,由CarSRC评选高质量漏洞奖,数量不限;若当季度没有高质量漏洞,则该奖励可以为空。

  • 年度奖励

奖励公告当年12月进行统计并发布,奖励发放时间以公告时间为准。

  • 荣誉称号
累积安全币积分 对应荣誉称号
1 新手入门
100 初窥门径
1000 已有小成
2000 仗剑天涯
3000 一代宗师
5000 出神入化

 

  1. 评分标准通用原则

1)评分标准仅适用于汽车产业网络空间安全业务。与此无关的漏洞,不做处理。

2)以漏洞测试、证明危害性为借口,利用漏洞进行损害用户利益、深入系统获取敏感数据、影响业务正常运作、修复前公开、盗取用户数据等行为的,将不予计分,同时会采取进一步法律行动的权利。

3)同一漏洞最早提交者得分,其他提交者均不计分。

4)由同一个漏洞源引起的多个漏洞只算做一个漏洞。

5)网上已经公开的以及在其他平台披露过的漏洞不作计分,如有发现重复提交,扣除对应漏洞积分。

6)对已修复的漏洞,安全专家利用新的技术再次绕过安全防护规则,按新漏洞计分。

7)以上解释权归CarSRC所有。

  1. 争议解决办法

在漏洞报告处理过程中,如果报告者对处理流程、漏洞评分等具有异议的,请通过邮件及时沟通。CarSRC将根据漏洞情报报告者利益优先的原则进行处理,必要时可引入外部人士共同裁定。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章