1. CarSRC简介
汽车产业网络空间安全应急响应中心(简称CarSRC),连接·联合 保护你的每一次出行。我们致力于连接安全专家和汽车厂家之间的关系,并在政府及主管部门的指导下联合安全专家、安全厂商及汽车厂家的力量,建立应急响应平台,为汽车产业网络空间安全保障工作做出努力。
CarSRC,汽车产业网络安全的开拓者,肩负着汽车产业的安全漏洞、黑客入侵的发现和处理工作;我们与安全专家们并肩而行,守护和捍卫全球亿万用户的出行安全。
我们诚邀安全专家向我们反馈在汽车产业挖掘发现的网络安全漏洞。对于帮助提升汽车产业网络空间安全的安全专家,我们将给予您感谢和回馈。欢迎发送邮件到bug@carsrc.org向我们反馈您所挖掘到的安全漏洞。
2. 基本原则
1) CarSRC非常重视车联网产品和业务的安全问题,我们承诺,每一位报告者反馈的问题都有专人进行跟进、分析和处理,并及时给予答复。
2) CarSRC承诺,对于每一位为汽车产业提升安全防护、保护用户利益的安全专家,我们将给予感谢和回馈。
3) CarSRC严格禁止一切以漏洞测试为借口,利用安全漏洞进行破坏、损害用户利益的黑客行为。
4) CarSRC严格禁止一切利用安全漏洞恐吓用户、攻击竞争对手的行为。
5) CarSRC严禁在漏洞发现和测试、验证过程中获取数据超过25条(含)。
6) CarSRC严禁在漏洞发现和测试、验证过程中增加、删除、修改用户文件、目录、数据库内容、结构。
7) CarSRC希望各企业和安全研究者一起加入到守护和捍卫全球亿万用户的出行安全过程中来,一起为建设安全可靠的出行环境安全而努力。
3. 适用范围
本流程适用于CarSRC平台所收到的所有安全漏洞。
4. 实施日期
本文档自发布之日起一周后实行。
5. 评分标准
安全漏洞主要包含三大部分的内容:互联网漏洞、车辆制造系统和车机端漏洞。分别描述其评分标准。
5.1 互联网漏洞评分标准
根据漏洞危害程度将漏洞等级分为严重、高危、中危、低危、无五个等级,每个等级评分如下:
【严重】:
1. 直接获取核心系统权限漏洞,包括但不限于任意代码执行、远程命令执行、任意文件上传获取webshell、可利用的远程缓冲区溢出、SQL注入获取系统权限漏洞等。
2. 核心系统业务逻辑漏洞,包括但不限于交易支付逻辑漏洞,获取任意账号管理权限漏洞,核心接口逻辑校验漏洞等。
3. 核心业务数据泄露漏洞,包括但不限于核心DB的SQL注入漏洞,可获取大量用户身份信息,订单信息、资金交易信息的接口权限校验漏洞等。
【高危】:
1. 重要接口权限失效,包括但不限于越权增删改查其他用户资源信息、未授权访问重要系统后台、重要系统任意文件读取和下载漏洞等。
2. 具有高风险的敏感信息泄露漏洞,包括但不限于重要后台账号密码泄露、重要系统源代码泄露、非核心DB的SQL注入漏洞等。
3. 具有一定影响力的核心业务漏洞,包括但不限于可获取敏感信息或者执行敏感操作的存储型XSS 漏洞。
【中危】:
1. 非核心业务的普通越权操作。
2. 普通的信息泄露,包含少量泄露的手机号,邮箱等个人信息以及少量敏感信息的源代码压缩包泄漏。
3. 需要用户交互方可影响的漏洞,包括但不限于重要敏感操作的 CSRF、普通业务的存储型 XSS等。
【低危】:
1. 无敏感操作的后台账号弱口令,不包括所有功能404无法使用或无权限的情况
2. 普通业务的撞库
3. 短信轰炸
4. 无用户量或用户量极少的存储型xss漏洞
【无】:
1. 不涉及安全问题的功能缺陷。包括但不限于页面乱码,静态资源文件遍历,页面样式不兼容等。
2. 无法复现,未能证明危害的漏洞。
3. 无法利用的“漏洞”。包括但不限于没有实际意义的扫描器漏洞报告(如 Web Server 的低版本)、Self-XSS、6位数验证码爆破,反射型XSS,非敏感操作的 CSRF(如收藏、添加购物车、非重要业务的普通个人资料修改等)、无意义的源码泄漏、内网 IP 地址/域名泄漏、401 基础认证钓鱼、HTTP.sys远程代码执行,短文件目录枚举等。
4. 基本无影响的信息泄露漏洞,包括但不限于服务器物理路径、非核心代码SVN,GIT,网站备份文件泄漏、无危害的phpinfo、边缘系统文件、本地日志等。
注:所有威胁将结合漏洞实际利用危害评估最终得分,IP地址的漏洞需自行判断厂商归属,且专门给出截图证据;密文id越权,需提供可获取密文id的办法(如破解加密方式或大量获取密文id的方式)。
5.2 车辆制造系统漏洞评分标准
根据漏洞危害程度将漏洞等级分为严重、高危、中危、低危四个等级,每个等级评分如下:
【严重】:
1. 获取核心系统权限漏洞,包括但不限于任意代码执行、远程命令执行、缓冲区溢出等漏洞,导致大量核心生产数据泄露,生产链路控制等。
2. 核心业务数据泄露漏洞,包括但不限于核心系统账号泄露(包含弱口令)、核心接口权限失效等漏洞,导致客户数据、厂商生产数据、重要零部件设计数据等泄露。
3. 可致核心业务系统瘫痪的拒绝服务漏洞,导致生产链路中断。
【高危】:
1. 重要接口权限失效,包括但不限于未授权访问重要系统后台、重要系统任意文件读取和下载漏洞等。
2. 敏感信息泄露漏洞,包括但不限于重要后台账号密码泄露、重要系统源代码泄露等。
【中危】:
1. 非核心业务的普通权限操作漏洞。
2. 普通的信息泄露。
【低危】:
1. 轻微的信息泄露。
2. 确定存在,但是无法实际利用的漏洞。包括但不限于无法获取敏感数据的接口权限漏洞等。
5.3 车机端漏洞评分标准
根据漏洞危害程度将漏洞等级分为严重、高危、中危、低危四个等级,每个等级评分如下:
【严重】:
1. 远程获取车载网关、T-BOX、远程诊断系统、车载娱乐系统等系统特权,导致获取车内关键组件单元(底盘控制系统、高级辅助驾驶系统等)的控制权的漏洞。包括但不限于远程命令执行,任意代码执行等漏洞。
2. 关键车载设备的远程拒绝服务漏洞,包括不限于以下设备:底盘控制系统,远程诊断系统、气囊系统、动力系统、ADAS高级辅助驾驶系统、雷达系统、胎压检测系统等。
3. 远程未授权刷新汽车关键组件单元固件,例如T-BOX、车载网关等固件。
注:远程指的是通过4G、WIFI、蓝牙、NFC和RFID等非物理接触方式。
【高危】:
1. 远程获取重要组件单元的系统特权,如车身控制系统(仪表盘、舒适系统、灯光控制系统以及防盗系统等)。包括但不限于远程命令执行,任意代码执行等漏洞。
2. 非关键车载设备的拒绝服务漏洞,如车身控制系统(仪表盘、舒适系统、灯光控制系统以及防盗系统等)。
3. 本地通过OBD等接口获取车载网关、T-BOX、远程诊断系统、车载娱乐系统等系统特权,导致获取车内关键组件单元(底盘控制系统、雷达系统、高级辅助驾驶系统等)的控制权的漏洞。
【中危】:
1. 通过车载娱乐系统等获取车辆及用户敏感信息,如用户身份信息、车辆标识信息、行车记录信息等敏感信息。
2. 一般车载设备的拒绝服务漏洞,如定位系统、车载娱乐系统、舒适系统、电池管理、疲劳监测系统、雷达系统等。
【低危】:
1. 绕过系统安全访问限制,但未造成实际危害的漏洞。
2. 通过车辆组件单元漏洞获取车辆及用户非敏感信息,如耗油量、胎压、车辆运行数据等信息。
6. 奖励发放标准
6.1 安全币换算
安全币=基础安全币*应用系数
安全币换算比例:
1安全币=10RMB
6.2 互联网漏洞奖励标准
基础安全币:
严重(10-9)、高危(8-6)
中危(5-3)、低危(2-1)
应用系数:
核心/厂商(10)、一般/厂商(4)
边缘/厂商(1)、微小应用/厂商(0.5)
例如:某大型车企核心应用任意文件上传获取系统权限漏洞,计算方法为:
安全币100=基础安全币(严重:10)*应用系数(核心:10)
安全币对应表:
应用系数/ 安全币 | 严重 漏洞 10-9 | 高危 漏洞 8-6 | 中危 漏洞 5-3 | 低危 漏洞 2-1 |
核心应用/ 厂商(10) | 100-90 | 80-60 | 50-30 | 20-10 |
一般应用/ 厂商(4) | 40-36 | 32-24 | 20-12 | 8-4 |
边缘应用/ 厂商(1) | 10-9 | 8-6 | 5-3 | 2-1 |
微小应用/ 厂商(0.5) | 4 | 3 | 2 | 1 |
6.3 车辆制造系统和车机端漏洞奖励标准
基础安全币:
严重(100-50)、高危(40-10)
中危(9-5)、(低危3-1)
应用类型:
大型厂商(10)、小众厂商(4)
应用类型 /安全币 | 严重 漏洞 100-50 | 高危 漏洞 40-10 | 中危 漏洞 9-5 | 低危 漏洞 3-1 |
大型 厂商 (10) | 1000-500 | 400-100 | 90-50 | 30-10 |
小众 厂商 (4) | 400-200 | 160-40 | 36-20 | 12-4 |
厂商类型以应用量为准。
额外奖励:
对于影响巨大的车辆制造系统和车机端的漏洞,CarSRC会额外给予2万-5万RMB奖励,并且 CarSRC会以漏洞报告者的名义向该组件官方发出报告,帮助其改进软件安全性。
6.4 其他奖励
为感谢您对汽车产业网络安全做出的贡献,CarSRC将不定期举行活动,用以增加白帽子的活跃度,活动形式多样,不限于以下形式:安全沙龙、礼品发放、礼品卡、现金红包等。活动的举办将通过CarSRC公告,敬请留意。
1) 常规奖励
我们会根据每位用户提交审核通过的不同级别的漏洞,设置每个级别对应的奖励。
2) 季度奖励
在每个季度结束后15个工作日内发布奖励公告,20个工作日内发放奖励。
该部分奖励是对每季度对CarSRC有突出贡献的安全专家奖励,奖励评判标准如下:
名次 季度 | 奖励 | 说明 | 备注 |
第一名 | 3000 RMB | 该季度内至少提交三个严重漏洞 | 不满足要求则名次后延 |
第二名 | 2000 RMB | 该季度内至少提交两个严重漏洞 | |
第三名 | 1000 RMB | 该季度内至少提交一个严重漏洞 |
当季度提交漏洞中,由CarSRC评选高质量漏洞奖,数量不限;若当季度没有高质量漏洞,则该奖励可以为空。
3) 年度奖励
奖励公告当年12月进行统计并发布,奖励发放时间以公告时间为准。
4) 荣誉称号
累积安全币积分 | 对应荣誉称号 |
1 | 新手入门 |
100 | 初窥门径 |
1000 | 已有小成 |
2000 | 仗剑天涯 |
3000 | 一代宗师 |
5000 | 出神入化 |
7. 评分标准通用原则
1) 评分标准仅适用于汽车产业网络安全业务。与此无关的漏洞,不做处理。
2) 以漏洞测试、证明危害性为借口,利用漏洞进行损害用户利益、深入系统获取敏感数据、影响业务正常运作、修复前公开、盗取用户数据等行为的,将不予计分,同时会采取进一步法律行动的权利。
3) 同一漏洞最早提交者得分,其他提交者均不计分。
4) 由同一个漏洞源引起的多个漏洞只算做一个漏洞。
5) 网上已经公开的以及在其他平台披露过的漏洞不作计分,如有发现重复提交,扣除对应漏洞积分。
6) 对已修复的漏洞,安全专家利用新的技术再次绕过安全防护规则,按新漏洞计分。
7) 最终业务等级的评定结果由厂商确定。
8) 以上解释权归CarSRC所有。
8. 争议解决办法
在漏洞情报处理过程中,如果报告者对处理流程、漏洞评分等具有异议的,请通过邮件及时沟通。CarSRC将根据漏洞情报报告者利益优先的原则进行处理,必要时可引入外部人士共同裁定。
来源:汽车产业安全应急响应中心