华米安全应急响应中心
1、SRC职责

华米安全应急响应中心(https:// src.zepp.com),简称“ZSRC”,是华米公司致力于维护互联网健康安全生态环境,保障华米产品和业务线安全性,促进与业界及公司密切合作与交流,而建立的漏洞收集和应急响应平台。非常欢迎广大用户向我们反馈华米产品和业务的安全漏洞,与我们一起保障国内外众多用户的安全在线生活。

2、华米业务及SRC沟通方式

(1)华米业务范围: *.huami.com、*.amazfit.com、*.zepp.com 等华米域名。产品包括:Zepp 、米动健康、Zepp life、微信小程序等。

(2)华米SRC指定接收漏洞及沟通渠道:sec@zepp.com

3、SRC处置流程

(1)漏洞提交后一个工作日内,SRC工作人员会确认收到的漏洞报告,并开始评估问题;

(2)漏洞提交后三个工作日内,SRC工作人员针漏洞问题进行处理、给出结论并计入贡献值(必要时会与报告者沟通确认,请报告者予以协助);

(3)业务部门修复报告中所反馈的漏洞并安排更新上线;修复时间根据漏洞的严重程度及修复难度而定,一般来说:

严重漏洞 1个 工作日内修复;

高危漏洞 3-5个工作日内修复;

中危漏洞 15 个工作日内修复;

低危漏洞 30 个工作日内修复or 忽略;

客户端安全问题受版本发布限制,修复时间根据实际情况确定;

(4)漏洞报告者可复查安全问题是否修复成功,若发现已修复漏洞仍可利用,可联系处理人员,平台将追加额外奖励。

4、SRC漏洞定级规则

4.1、严重

(1)直接获取核心系统权限的漏洞。包括但不限于远程任意命令执行、代码执行、上传webshell 、SQL注入获取系统权限等。

(2)严重的敏感信息泄漏。包括但不仅限于核心DB的SQL注入、可获取大量核心用户的身份信息、个人敏感数据、商业订单信息的逻辑漏洞等问题。

(3)直接导致严重影响的逻辑漏洞。包括但不限于支付模块的逻辑漏洞、伪造核心应用账号、任意帐号密码更改漏洞等。

4.2、高危

(1)直接获取一般系统权限的漏洞。包括但不限于远程任意命令执行、代码执行、上传webshell 、SQL注入获取系统权限、缓冲区溢出等。

(2)重要的未授权访问操作,包括但不限于绕过认证直接访问含有敏感信息的管理后台操作、重要业务含有敏感信息的未授权访问、重要业务后台弱口令且业务中有实际操作权限、增删改查任意用户信息等较为重要的越权行为、可直接获取大量内网敏感信息的SSRF(不得对内网扫描)。

(3)重要活动的业务逻辑漏洞,通过漏洞确实可直接获取较高利益或能给公司带来大量经济损失的漏洞。

4.3、中危

(1)需交互才能获取用户身份信息的漏洞。包括但不限于存储型 XSS、核心业务重要敏感操作的 CSRF。

(2)普通越权操作。包括但不仅限于可查询其它少量用户数据的越权操作。

(3)普通信息泄漏。包括但不仅限于 Github 涉及内部系统、邮箱密码泄露。

(4)本地任意代码执行。包括但不限于本地可利用的堆栈溢出、format string、本地提权、文件关联的 DLL 劫持以及其它逻辑问题导致的本地代码执行漏洞。

4.4、低危

(1)只在特定非流行浏览器环境下(如小于 IE11 的浏览器等)才能获取用户身份信息的漏洞。包括但不限于存储型 XSS、反射型 XSS、DOM-XSS等。

(2)轻微信息泄漏漏洞。包括但不限于Github泄露的非敏感系统源码及密码、SVN文件泄漏、phpinfo、logcat敏感信息泄漏。

(3)PC客户端及移动客户端会影响用户正常使用场景的本地拒绝服务漏洞。包括但不限于组件权限导致的本地拒绝服务漏洞。

(4)URL跳转。包括但不限于华米业务范围内定义的子域名下的URL 跳转漏洞,需证明可直接跳转。

(5)能直接访问内网但无回显的 SSRF 漏洞。

(6)难以利用但又可能存在安全隐患的问题。包括但不限于可能引起传播和利用的CSRF以及需借助中间人攻击的远程代码执行漏洞,并提供有效PoC。

(7)对任意指定用户或手机号高频无限制的短信轰炸。

4.5、无效(无直接安全问题/无法直接利用/无法证明漏洞存在/利用成本过高的漏洞)

(1)无关安全的bug。包括但不限于网页乱码、网页无法打开、某功能无法用。

(2)无法利用的“漏洞”。包括但不限于没有实际意义的扫描器漏洞报告、仅能反弹自己的Self-XSS等。

(3)无任何证据的猜测或者无法复现的漏洞。

(4)非华米业务。

(5)其他认为可忽略的漏洞。

5、SRC奖励计划

SRC奖励标准(不直接派发现金)

序号漏洞等级漏洞奖励标准(RMB)备注
1严重1000 - 2000 (RMB)华米产品组合,基于漏洞价值评估
2高危500 - 1000 (RMB)单个华米产品
3中危100 – 500 (RMB)单个华米产品
4低危书面感谢/
5无效/

奖励发放机制:

漏洞审核员在审核通过白帽子提交的漏洞后,会根据评级标准为该漏洞分配对应的奖励,在与白帽子确认后生效。

漏洞审核员在与白帽确认相关奖励和个人信息之后,会安排发放相应奖励,实际奖励抵达时间以当地实际情况为准。如果奖励发放有任何问题,请及时联系我们确认。

6、注意事项

(1)奖励标准仅针对华米产品和业务有影响的威胁情报。

(2)处理流程及定级规则解释权归华米所有,我们有权根据情况对处理流程及定级规则进行调整并重新公告发布

(3)白帽子不得在任何公共渠道或自媒体(如微博、论坛、社区、公众号、朋友圈、Facebook、twitter、instagram等)上公开漏洞细节

(4)由同一个漏洞源产生的多个漏洞一般计漏洞数量为一个,同一漏洞只对最早提交者计算贡献;在其它平台上提交过的不计入贡献;提交外界已经公开的漏洞不计入;厂商已知漏洞不重复计算贡献值

(5)各等级漏洞的最终贡献值数量由漏洞利用难度及影响范围等综合因素决定,若漏洞触发条件非常苛刻,则可降低漏洞等级;

(6)严禁使用自动化漏扫或辅助工具发起高频扫描的行为,测试结果应仅限证明漏洞存在并可被利用(即POC)为止,严禁利用漏洞进行非法操作,包括但不限于:拖库、内网渗透等。

(7)不得以安全测试为借口,利用情报信息进行损害用户利益、影响业务正常运作、修复前公开、盗取用户数据等行为的,将不会计分,同时保留采取进一步法律行动的权利

您有任何问题,均可通过华米邮箱sec@zepp.com反馈