今日頭條
官方微信
官方抖音
資訊頻道汽車產(chǎn)業(yè)網(wǎng)絡(luò)空間安全應(yīng)急響應(yīng)中心運營規(guī)則
1. CarSRC簡介
汽車產(chǎn)業(yè)網(wǎng)絡(luò)空間安全應(yīng)急響應(yīng)中心(簡稱CarSRC),連接·聯(lián)合 保護你的每一次出行。我們致力于連接安全專家和汽車廠家之間的關(guān)系,并在政府及主管部門的指導下聯(lián)合安全專家、安全廠商及汽車廠家的力量,建立應(yīng)急響應(yīng)平臺,為汽車產(chǎn)業(yè)網(wǎng)絡(luò)空間安全保障工作做出努力。
CarSRC,汽車產(chǎn)業(yè)網(wǎng)絡(luò)安全的開拓者,肩負著汽車產(chǎn)業(yè)的安全漏洞、黑客入侵的發(fā)現(xiàn)和處理工作;我們與安全專家們并肩而行,守護和捍衛(wèi)全球億萬用戶的出行安全。
我們誠邀安全專家向我們反饋在汽車產(chǎn)業(yè)挖掘發(fā)現(xiàn)的網(wǎng)絡(luò)安全漏洞。對于幫助提升汽車產(chǎn)業(yè)網(wǎng)絡(luò)空間安全的安全專家,我們將給予您感謝和回饋。歡迎發(fā)送郵件到bug@carsrc.org向我們反饋您所挖掘到的安全漏洞。
2. 基本原則
1) CarSRC非常重視車聯(lián)網(wǎng)產(chǎn)品和業(yè)務(wù)的安全問題,我們承諾,每一位報告者反饋的問題都有專人進行跟進、分析和處理,并及時給予答復(fù)。
2) CarSRC承諾,對于每一位為汽車產(chǎn)業(yè)提升安全防護、保護用戶利益的安全專家,我們將給予感謝和回饋。
3) CarSRC嚴格禁止一切以漏洞測試為借口,利用安全漏洞進行破壞、損害用戶利益的黑客行為。
4) CarSRC嚴格禁止一切利用安全漏洞恐嚇用戶、攻擊競爭對手的行為。
5) CarSRC嚴禁在漏洞發(fā)現(xiàn)和測試、驗證過程中獲取數(shù)據(jù)超過25條(含)。
6) CarSRC嚴禁在漏洞發(fā)現(xiàn)和測試、驗證過程中增加、刪除、修改用戶文件、目錄、數(shù)據(jù)庫內(nèi)容、結(jié)構(gòu)。
7) CarSRC希望各企業(yè)和安全研究者一起加入到守護和捍衛(wèi)全球億萬用戶的出行安全過程中來,一起為建設(shè)安全可靠的出行環(huán)境安全而努力。
3. 適用范圍
本流程適用于CarSRC平臺所收到的所有安全漏洞。
4. 實施日期
本文檔自發(fā)布之日起一周后實行。
5. 評分標準
安全漏洞主要包含三大部分的內(nèi)容:互聯(lián)網(wǎng)漏洞、車輛制造系統(tǒng)和車機端漏洞。分別描述其評分標準。
5.1 互聯(lián)網(wǎng)漏洞評分標準
根據(jù)漏洞危害程度將漏洞等級分為嚴重、高危、中危、低危、無五個等級,每個等級評分如下:
【嚴重】:
1. 直接獲取核心系統(tǒng)權(quán)限漏洞,包括但不限于任意代碼執(zhí)行、遠程命令執(zhí)行、任意文件上傳獲取webshell、緩沖區(qū)溢出、SQL注入獲取系統(tǒng)權(quán)限漏洞等。
2. 核心系統(tǒng)業(yè)務(wù)邏輯漏洞,包括但不限于交易支付邏輯漏洞,獲取任意賬號管理權(quán)限漏洞,核心接口邏輯校驗漏洞等。
3. 核心業(yè)務(wù)數(shù)據(jù)泄露漏洞,包括但不限于核心DB的SQL注入漏洞,可獲取大量用戶身份信息,訂單信息、資金交易信息的接口權(quán)限校驗漏洞等。
4. 可致核心業(yè)務(wù)系統(tǒng)癱瘓的拒絕服務(wù)漏洞。
【高危】:
1. 重要接口權(quán)限失效,包括但不限于越權(quán)增刪改查其他用戶資源信息、未授權(quán)訪問重要系統(tǒng)后臺、重要系統(tǒng)任意文件讀取和下載漏洞等。
2. 敏感信息泄露漏洞,包括但不限于重要后臺賬號密碼泄露(包含弱口令)、重要系統(tǒng)源代碼泄露、非核心DB的SQL注入漏洞等。
3. 具有一定影響力的核心業(yè)務(wù)漏洞,包括但不限于易于利用的存儲XSS漏洞。
【中危】:
1. 非核心業(yè)務(wù)的普通越權(quán)操作。
2. 需要用戶交互方可影響的漏洞,包括但不限于反射型XSS,敏感操作的CSRF漏洞等。
【低危】:
1. 需要用戶交互方可影響的漏洞,包括但不限于反射型XSS(同一個應(yīng)用由于同一原因造成多個XSS漏洞算作一個)。
2. 普通的信息泄露,包括但不限于客戶端明文密碼存儲等。
3. URL跳轉(zhuǎn)漏洞。
4. 確定存在,但是無法實際利用的漏洞。包括但不限于無法獲取數(shù)據(jù)的SQL注入點等。
【無】:
1. 輕微的信息泄露,包括但不限于網(wǎng)站路徑信息,banner信息,SVN信息,phpinfo信息等。
2. 需要用戶交互方可影響的漏洞,包括但不限于非敏感操作的CSRF。
3. 不涉及安全問題的功能缺陷。包括但不限于頁面亂碼,靜態(tài)資源文件遍歷,頁面樣式不兼容,測試頁面等。
4. 未經(jīng)驗證的掃描器掃描結(jié)果,無意義的源碼泄漏,內(nèi)網(wǎng)IP/域名泄漏等。
5. 無法復(fù)現(xiàn),或者不能反映出漏洞影響的問題。
5.2 車輛制造系統(tǒng)漏洞評分標準
根據(jù)漏洞危害程度將漏洞等級分為嚴重、高危、中危、低危四個等級,每個等級評分如下:
【嚴重】:
1. 獲取核心系統(tǒng)權(quán)限漏洞,包括但不限于任意代碼執(zhí)行、遠程命令執(zhí)行、緩沖區(qū)溢出等漏洞,導致大量核心生產(chǎn)數(shù)據(jù)泄露,生產(chǎn)鏈路控制等。
2. 核心業(yè)務(wù)數(shù)據(jù)泄露漏洞,包括但不限于核心系統(tǒng)賬號泄露(包含弱口令)、核心接口權(quán)限失效等漏洞,導致客戶數(shù)據(jù)、廠商生產(chǎn)數(shù)據(jù)、重要零部件設(shè)計數(shù)據(jù)等泄露。
3. 可致核心業(yè)務(wù)系統(tǒng)癱瘓的拒絕服務(wù)漏洞,導致生產(chǎn)鏈路中斷。
【高危】:
1. 重要接口權(quán)限失效,包括但不限于未授權(quán)訪問重要系統(tǒng)后臺、重要系統(tǒng)任意文件讀取和下載漏洞等。
2. 敏感信息泄露漏洞,包括但不限于重要后臺賬號密碼泄露、重要系統(tǒng)源代碼泄露等。
【中危】:
1. 非核心業(yè)務(wù)的普通權(quán)限操作漏洞。
2. 普通的信息泄露。
【低危】:
1. 輕微的信息泄露。
2. 確定存在,但是無法實際利用的漏洞。包括但不限于無法獲取敏感數(shù)據(jù)的接口權(quán)限漏洞等。
5.3 車機端漏洞評分標準
根據(jù)漏洞危害程度將漏洞等級分為嚴重、高危、中危、低危四個等級,每個等級評分如下:
【嚴重】:
1. 遠程獲取車載網(wǎng)關(guān)、T-BOX、遠程診斷系統(tǒng)、車載娛樂系統(tǒng)等系統(tǒng)特權(quán),導致獲取車內(nèi)關(guān)鍵組件單元(底盤控制系統(tǒng)、高級輔助駕駛系統(tǒng)等)的控制權(quán)的漏洞。包括但不限于遠程命令執(zhí)行,任意代碼執(zhí)行等漏洞。
2. 關(guān)鍵車載設(shè)備的遠程拒絕服務(wù)漏洞,包括不限于以下設(shè)備:底盤控制系統(tǒng),遠程診斷系統(tǒng)、氣囊系統(tǒng)、動力系統(tǒng)、ADAS高級輔助駕駛系統(tǒng)、雷達系統(tǒng)、胎壓檢測系統(tǒng)等。
3. 遠程未授權(quán)刷新汽車關(guān)鍵組件單元固件,例如T-BOX、車載網(wǎng)關(guān)等固件。
注:遠程指的是通過4G、WIFI、藍牙、NFC和RFID等非物理接觸方式。
【高危】:
1. 遠程獲取重要組件單元的系統(tǒng)特權(quán),如車身控制系統(tǒng)(儀表盤、舒適系統(tǒng)、燈光控制系統(tǒng)以及防盜系統(tǒng)等)。包括但不限于遠程命令執(zhí)行,任意代碼執(zhí)行等漏洞。
2. 非關(guān)鍵車載設(shè)備的拒絕服務(wù)漏洞,如車身控制系統(tǒng)(儀表盤、舒適系統(tǒng)、燈光控制系統(tǒng)以及防盜系統(tǒng)等)。
3. 本地通過OBD等接口獲取車載網(wǎng)關(guān)、T-BOX、遠程診斷系統(tǒng)、車載娛樂系統(tǒng)等系統(tǒng)特權(quán),導致獲取車內(nèi)關(guān)鍵組件單元(底盤控制系統(tǒng)、雷達系統(tǒng)、高級輔助駕駛系統(tǒng)等)的控制權(quán)的漏洞。
【中危】:
1. 通過車載娛樂系統(tǒng)等獲取車輛及用戶敏感信息,如用戶身份信息、車輛標識信息、行車記錄信息等敏感信息。
2. 一般車載設(shè)備的拒絕服務(wù)漏洞,如定位系統(tǒng)、車載娛樂系統(tǒng)、舒適系統(tǒng)、電池管理、疲勞監(jiān)測系統(tǒng)、雷達系統(tǒng)等。
【低危】:
1. 繞過系統(tǒng)安全訪問限制,但未造成實際危害的漏洞。
2. 通過車輛組件單元漏洞獲取車輛及用戶非敏感信息,如耗油量、胎壓、車輛運行數(shù)據(jù)等信息。
6. 獎勵發(fā)放標準
6.1 安全幣換算
安全幣=基礎(chǔ)安全幣*應(yīng)用系數(shù)
安全幣換算比例:
1安全幣=10RMB
6.2 互聯(lián)網(wǎng)漏洞獎勵標準
基礎(chǔ)安全幣:
嚴重(10-9)、高危(8-6)
中危(5-3)、低危(2-1)
應(yīng)用系數(shù):
核心/廠商(10)、一般/廠商(4)
邊緣/廠商(1)、微小應(yīng)用/廠商(0.5)
例如:某大型車企核心應(yīng)用任意文件上傳獲取系統(tǒng)權(quán)限漏洞,計算方法為:
安全幣100=基礎(chǔ)安全幣(嚴重:10)*應(yīng)用系數(shù)(核心:10)
安全幣對應(yīng)表:
應(yīng)用系數(shù)/ 安全幣 | 嚴重 漏洞 10-9 | 高危 漏洞 8-6 | 中危 漏洞 5-3 | 低危 漏洞 2-1 |
核心應(yīng)用/ 廠商(10) | 100-90 | 80-60 | 50-30 | 20-10 |
一般應(yīng)用/ 廠商(4) | 40-36 | 32-24 | 20-12 | 8-4 |
邊緣應(yīng)用/ 廠商(1) | 10-9 | 8-6 | 5-3 | 2-1 |
微小應(yīng)用/ 廠商(0.5) | 4 | 3 | 2 | 1 |
6.3 車輛制造系統(tǒng)和車機端漏洞獎勵標準
基礎(chǔ)安全幣:
嚴重(100-50)、高危(40-10)
中危(9-5)、(低危3-1)
應(yīng)用類型:
大型廠商(10)、小眾廠商(4)
應(yīng)用類型 /安全幣 | 嚴重 漏洞 100-50 | 高危 漏洞 40-10 | 中危 漏洞 9-5 | 低危 漏洞 3-1 |
大型 廠商 (10) | 1000-500 | 400-100 | 90-50 | 30-10 |
小眾 廠商 (4) | 400-200 | 160-40 | 36-20 | 12-4 |
廠商類型以應(yīng)用量為準。
額外獎勵:
對于影響巨大的車輛制造系統(tǒng)和車機端的漏洞,CarSRC會額外給予2萬-5萬RMB獎勵,并且 CarSRC會以漏洞報告者的名義向該組件官方發(fā)出報告,幫助其改進軟件安全性。
6.4 其他獎勵
為感謝您對汽車產(chǎn)業(yè)網(wǎng)絡(luò)安全做出的貢獻,CarSRC將不定期舉行活動,用以增加白帽子的活躍度,活動形式多樣,不限于以下形式:安全沙龍、禮品發(fā)放、禮品卡、現(xiàn)金紅包等。活動的舉辦將通過CarSRC公告,敬請留意。
1) 常規(guī)獎勵
我們會根據(jù)每位用戶提交審核通過的不同級別的漏洞,設(shè)置每個級別對應(yīng)的獎勵。
2) 季度獎勵
在每個季度結(jié)束后15個工作日內(nèi)發(fā)布獎勵公告,20個工作日內(nèi)發(fā)放獎勵。
該部分獎勵是對每季度對CarSRC有突出貢獻的安全專家獎勵,獎勵評判標準如下:
名次 季度 | 獎勵 | 說明 | 備注 |
第一名 | 3000 RMB | 該季度內(nèi)每月至少提交一個高危漏洞 | 不滿足要求則名次后延 |
第二名 | 2000 RMB | 該季度內(nèi)至少提交一個高危漏洞 | |
第三名 | 1000 RMB | 無 |
當季度提交漏洞中,由CarSRC評選高質(zhì)量漏洞獎,數(shù)量不限;若當季度沒有高質(zhì)量漏洞,則該獎勵可以為空。
3) 年度獎勵
獎勵公告當年12月進行統(tǒng)計并發(fā)布,獎勵發(fā)放時間以公告時間為準。
4) 榮譽稱號
累積安全幣積分 | 對應(yīng)榮譽稱號 |
1 | 新手入門 |
100 | 初窺門徑 |
1000 | 已有小成 |
2000 | 仗劍天涯 |
3000 | 一代宗師 |
5000 | 出神入化 |
7. 評分標準通用原則
1) 評分標準僅適用于汽車產(chǎn)業(yè)網(wǎng)絡(luò)安全業(yè)務(wù)。與此無關(guān)的漏洞,不做處理。
2) 以漏洞測試、證明危害性為借口,利用漏洞進行損害用戶利益、深入系統(tǒng)獲取敏感數(shù)據(jù)、影響業(yè)務(wù)正常運作、修復(fù)前公開、盜取用戶數(shù)據(jù)等行為的,將不予計分,同時會采取進一步法律行動的權(quán)利。
3) 同一漏洞最早提交者得分,其他提交者均不計分。
4) 由同一個漏洞源引起的多個漏洞只算做一個漏洞。
5) 網(wǎng)上已經(jīng)公開的以及在其他平臺披露過的漏洞不作計分,如有發(fā)現(xiàn)重復(fù)提交,扣除對應(yīng)漏洞積分。
6) 對已修復(fù)的漏洞,安全專家利用新的技術(shù)再次繞過安全防護規(guī)則,按新漏洞計分。
7) 最終業(yè)務(wù)等級的評定結(jié)果由廠商確定。
8) 以上解釋權(quán)歸CarSRC所有。
8. 爭議解決辦法
在漏洞情報處理過程中,如果報告者對處理流程、漏洞評分等具有異議的,請通過郵件及時溝通。CarSRC將根據(jù)漏洞情報報告者利益優(yōu)先的原則進行處理,必要時可引入外部人士共同裁定。
來源:汽車產(chǎn)業(yè)安全應(yīng)急響應(yīng)中心
北京市公安局海淀分局備案號:11010802023656號