塞巴斯蒂安 发表于 2022-9-17 10:58:53

大疆奖励发现漏洞最高3万元

本帖最后由 塞巴斯蒂安 于 2022-9-17 10:58 编辑

DJI安全应急响应中心漏洞处理与评级标准
一、DJI声明
1.DJI非常重视自身产品和业务系统的信息安全问题,也意识到安全研究者和社区对DJI提升自身产品和业务系统安全水平的帮助。我们承诺对每一位报告者反馈的问题都有专人负责跟进、反馈 、分析和处理,并及时给予答复。
2.DJI恪守并支持负责任的漏洞报告流程,尊重每一位白帽子的研究成果。真诚欢迎每一位白帽子向DJI报告漏洞,我们将按照漏洞质量给予感谢和回馈。

3.DJI将用户利益放在第一位,尽最大努力保护DJI用户的利益。

4.DJI反对并谴责以下行为,并保留依法追究责任的权利:

(1)以测试为借口,利用漏洞进行破坏,损害用户利益的行为,包括但不限于利用漏洞盗取用户资料、隐私及虚拟财产。
(2)在漏洞测试过程中下载DJI的任何代码和数据。(如果发现可能导致代码和数据泄漏的问题,不实际下载内容并不会影响对漏洞的评级)。
(3)利用漏洞攻击DJI的系统,造成系统宕机或者失效。
(4)利用漏洞或者在测试过程中置公众安全于不顾,严重影响飞行安全或者公开空域安全的行为。
(5)利用安全漏洞的恐吓、敲诈行为或恶意夸大漏洞影响,引起公众恐慌的行为。
(6)不负责任的漏洞披露,恶意传播漏洞,或在报告漏洞后、漏洞未修复前,对漏洞进行公开、传播或交易的行为。
(7)有害或者结果不可控的安全测试行为。
(8)违反国际通用法律或者当地法规的测试行为。
(9)不能妥善保管漏洞测试过程中的数据,导致DJI蒙受损失的行为。

测试过程中有任何疑问,随时和DJI(bugbounty@dji.com)联系,我们将为您进行详细的指引。

注意
通过DJI漏洞奖励计划,向DJI提交漏洞,将等同于你已接受DJI漏洞报告和奖励的全部条款。可以在 这里 获取条款的详细内容。

二、漏洞报告流程
三、漏洞报告有效范围

仅涉及以下DJI产品及服务的漏洞报告才能参与DJI漏洞奖励计划(最后一次更新时间:2017-12-25):
1. 域名:dji.com、skypixel.com、djicdn.com、djivideos.com、dji.net、robomaster.com、djiservice.org
2. APP: DJI GO、DJI GO 4、DJI Assistant、DJI Assistant 2等DJI官方APP
3. 设备:P3系列、P4系列、Mavic系列、Spark、Inspire1系列、Inspire2、OSMO系列、Ronin系列、农机、行业机、飞控产品

注意 将不会接受:1)不再销售的产品或者已经宣布不再支持的产品漏洞;2)和DJI有关的供应商或者合作伙伴的漏洞。

四、漏洞报告要求

符合要求并且高质量的漏洞报告将会加快DJI 漏洞评估的进程,同时加快您获得奖金的进程。高质量的报告包括:

1. 详细描述漏洞的细节,并请包括漏洞的易利用程度和危害。
2. 复现漏洞的详细步骤。
3. 提供详细的测试环境信息,包括:
(a)漏洞涉及的URL/APP 、代码片段。对于设备,请提供设备的型号,版本以及SN。
(b)您在测试使用的公网IP地址。
(c)您在测试时使用的用户帐号。
(d)非破坏性的漏洞POC(比如对于RCE漏洞,运行“hello world”)。
(e)请保留测试时的数据,并且作为报告附件提交。

注意:缺少这些信息可能会导致我们评估漏洞困难,并且影响到对您的响应和支付奖金。

五、负责任的漏洞披露

DJI 鼓励负责任的漏洞披露,包括:
1. 不在未获得 DJI 书面许可的情况下公布或告知他人漏洞细节。
2. 获得许可后,在披露过程中不得公布与用户隐私数据、DJI 服务器地址等可能侵犯DJI及用户隐私的信息。
3. 客观、诚实地描述漏洞的影响,夸大漏洞影响,煽动用户恐慌的行为将会受到追究。
4. 任何访问、下载、传播DJI 源码或者数据的行为可能触犯法律,并且DJI保留追究的权利。

六、漏洞评级因素

在对漏洞进行评级时,DJI 将主要考虑以下几个因素:
1. 可能泄漏的数据的敏感程度,数量。
2. 漏洞的易利用程度。
3. 可能对DJI用户造成的损失或者总体风险。
4. 影响到DJI产品的范围或者服务器的范围。

而如下的因素不会被考虑:
1. 您在漏洞挖掘过程中投入的时间成本。
2. 您为了漏洞挖掘所购买DJI产品的花费。
3. 其他不能明确漏洞影响或者严重程度的因素。

七、漏洞评级标准及奖励

DJI会给满足条件的漏洞报告者发放奖金或其他形式的非现金奖励,以表示对漏洞报告者的感谢。
1. 漏洞的第一报告者。
2. DJI 安全团队认定漏洞确实有效并且产生实际影响。
3. 漏洞报告者接受并遵守所有的条款。


注意:1)已知漏洞不能获得奖励;2)DJI 拥有对奖励的最终解释权;3)对于奖金产生的税收,由漏洞报告者承担
设备
APP
服务器
说明
大量: 超过10000条;
敏感信息:指身份证, 护照,信用卡,订单物流信息等信息;
一般信息:指电话号码,邮件地址,用户账户等信息。

非现金奖励
条款变更


DJI 有权在任何时候变更漏洞奖励计划的相关条款,策略和奖金金额,而不对报告者进行通知。

八、争议解决办法


在漏洞报告处理过程中,如果报告者对流程处理、漏洞定级、漏洞评分等有异议的,可以通过邮箱:bugbounty@dji.com,并以标题与工作人员及时反馈沟通。

九、建议反馈

任何意见和建议,欢迎通过邮箱bugbounty@dji.com进行反馈。

最终解释权归DJI安全应急响应中心所有。

V1.2,更新于2020年10月12日

详见:https://security.dji.com/policy?lang=zh_CN


页: [1]
查看完整版本: 大疆奖励发现漏洞最高3万元