1. CarSRC簡(jiǎn)介

汽車(chē)產(chǎn)業(yè)網(wǎng)絡(luò )空間安全應急響應中心（簡(jiǎn)稱(chēng)CarSRC），連接·聯(lián)合 保護你的每一次出行。我們致力于連接安全專(zhuān)家和汽車(chē)廠(chǎng)家之間的關(guān)系，并在政府及主管部門(mén)的指導下聯(lián)合安全專(zhuān)家、安全廠(chǎng)商及汽車(chē)廠(chǎng)家的力量，建立應急響應平臺，為汽車(chē)產(chǎn)業(yè)網(wǎng)絡(luò )空間安全保障工作做出努力。

CarSRC，汽車(chē)產(chǎn)業(yè)網(wǎng)絡(luò )安全的開(kāi)拓者，肩負著(zhù)汽車(chē)產(chǎn)業(yè)的安全漏洞、黑客入侵的發(fā)現和處理工作；我們與安全專(zhuān)家們并肩而行，守護和捍衛全球億萬(wàn)用戶(hù)的出行安全。

我們誠邀安全專(zhuān)家向我們反饋在汽車(chē)產(chǎn)業(yè)挖掘發(fā)現的網(wǎng)絡(luò )安全漏洞。對于幫助提升汽車(chē)產(chǎn)業(yè)網(wǎng)絡(luò )空間安全的安全專(zhuān)家，我們將給予您感謝和回饋。歡迎發(fā)送郵件到bug@carsrc.org向我們反饋您所挖掘到的安全漏洞。

2. 基本原則

1) CarSRC非常重視車(chē)聯(lián)網(wǎng)產(chǎn)品和業(yè)務(wù)的安全問(wèn)題，我們承諾，每一位報告者反饋的問(wèn)題都有專(zhuān)人進(jìn)行跟進(jìn)、分析和處理，并及時(shí)給予答復。

2) CarSRC承諾，對于每一位為汽車(chē)產(chǎn)業(yè)提升安全防護、保護用戶(hù)利益的安全專(zhuān)家，我們將給予感謝和回饋。

3) CarSRC嚴格禁止一切以漏洞測試為借口，利用安全漏洞進(jìn)行破壞、損害用戶(hù)利益的黑客行為。

4) CarSRC嚴格禁止一切利用安全漏洞恐嚇用戶(hù)、攻擊競爭對手的行為。

5) CarSRC嚴禁在漏洞發(fā)現和測試、驗證過(guò)程中獲取數據超過(guò)25條（含）。

6) CarSRC嚴禁在漏洞發(fā)現和測試、驗證過(guò)程中增加、刪除、修改用戶(hù)文件、目錄、數據庫內容、結構。

7) CarSRC希望各企業(yè)和安全研究者一起加入到守護和捍衛全球億萬(wàn)用戶(hù)的出行安全過(guò)程中來(lái)，一起為建設安全可靠的出行環(huán)境安全而努力。

3. 適用范圍

本流程適用于CarSRC平臺所收到的所有安全漏洞。

4. 實(shí)施日期

本文檔自發(fā)布之日起一周后實(shí)行。

5. 評分標準

安全漏洞主要包含三大部分的內容：互聯(lián)網(wǎng)漏洞、車(chē)輛制造系統和車(chē)機端漏洞。分別描述其評分標準。

5.1 互聯(lián)網(wǎng)漏洞評分標準

根據漏洞危害程度將漏洞等級分為嚴重、高危、中危、低危、無(wú)五個(gè)等級，每個(gè)等級評分如下：

【嚴重】：

1. 直接獲取核心系統權限漏洞，包括但不限于任意代碼執行、遠程命令執行、任意文件上傳獲取webshell、可利用的遠程緩沖區溢出、SQL注入獲取系統權限漏洞等。

2. 核心系統業(yè)務(wù)邏輯漏洞，包括但不限于交易支付邏輯漏洞，獲取任意賬號管理權限漏洞，核心接口邏輯校驗漏洞等。

3. 核心業(yè)務(wù)數據泄露漏洞，包括但不限于核心DB的SQL注入漏洞，可獲取大量用戶(hù)身份信息，訂單信息、資金交易信息的接口權限校驗漏洞等。

【高?！浚?/p>

1. 重要接口權限失效，包括但不限于越權增刪改查其他用戶(hù)資源信息、未授權訪(fǎng)問(wèn)重要系統后臺、重要系統任意文件讀取和下載漏洞等。

2. 具有高風(fēng)險的敏感信息泄露漏洞，包括但不限于重要后臺賬號密碼泄露、重要系統源代碼泄露、非核心DB的SQL注入漏洞等。

3. 具有一定影響力的核心業(yè)務(wù)漏洞，包括但不限于可獲取敏感信息或者執行敏感操作的存儲型XSS 漏洞。

【中?！浚?/p>

1. 非核心業(yè)務(wù)的普通越權操作。

2. 普通的信息泄露，包含少量泄露的手機號，郵箱等個(gè)人信息以及少量敏感信息的源代碼壓縮包泄漏。

3. 需要用戶(hù)交互方可影響的漏洞，包括但不限于重要敏感操作的 CSRF、普通業(yè)務(wù)的存儲型 XSS等。

【低?！浚?/p>

1. 無(wú)敏感操作的后臺賬號弱口令，不包括所有功能404無(wú)法使用或無(wú)權限的情況

2. 普通業(yè)務(wù)的撞庫

3. 短信轟炸

4. 無(wú)用戶(hù)量或用戶(hù)量極少的存儲型xss漏洞

【無(wú)】：

1. 不涉及安全問(wèn)題的功能缺陷。包括但不限于頁(yè)面亂碼，靜態(tài)資源文件遍歷，頁(yè)面樣式不兼容等。

2. 無(wú)法復現，未能證明危害的漏洞。

3. 無(wú)法利用的“漏洞”。包括但不限于沒(méi)有實(shí)際意義的掃描器漏洞報告（如 Web Server 的低版本）、Self-XSS、6位數驗證碼爆破，反射型XSS，非敏感操作的 CSRF(如收藏、添加購物車(chē)、非重要業(yè)務(wù)的普通個(gè)人資料修改等)、無(wú)意義的源碼泄漏、內網(wǎng) IP 地址/域名泄漏、401 基礎認證釣魚(yú)、HTTP.sys遠程代碼執行，短文件目錄枚舉等。

4. 基本無(wú)影響的信息泄露漏洞，包括但不限于服務(wù)器物理路徑、非核心代碼SVN，GIT，網(wǎng)站備份文件泄漏、無(wú)危害的phpinfo、邊緣系統文件、本地日志等。

注：所有威脅將結合漏洞實(shí)際利用危害評估最終得分，IP地址的漏洞需自行判斷廠(chǎng)商歸屬，且專(zhuān)門(mén)給出截圖證據；密文id越權，需提供可獲取密文id的辦法（如破解加密方式或大量獲取密文id的方式）。

5.2 車(chē)輛制造系統漏洞評分標準

根據漏洞危害程度將漏洞等級分為嚴重、高危、中危、低危四個(gè)等級，每個(gè)等級評分如下：

【嚴重】：

1. 獲取核心系統權限漏洞，包括但不限于任意代碼執行、遠程命令執行、緩沖區溢出等漏洞，導致大量核心生產(chǎn)數據泄露，生產(chǎn)鏈路控制等。

2. 核心業(yè)務(wù)數據泄露漏洞，包括但不限于核心系統賬號泄露（包含弱口令）、核心接口權限失效等漏洞，導致客戶(hù)數據、廠(chǎng)商生產(chǎn)數據、重要零部件設計數據等泄露。

3. 可致核心業(yè)務(wù)系統癱瘓的拒絕服務(wù)漏洞，導致生產(chǎn)鏈路中斷。

【高?！浚?/p>

1. 重要接口權限失效，包括但不限于未授權訪(fǎng)問(wèn)重要系統后臺、重要系統任意文件讀取和下載漏洞等。

2. 敏感信息泄露漏洞，包括但不限于重要后臺賬號密碼泄露、重要系統源代碼泄露等。

【中?！浚?/p>

1. 非核心業(yè)務(wù)的普通權限操作漏洞。

2. 普通的信息泄露。

【低?！浚?/p>

1. 輕微的信息泄露。

2. 確定存在，但是無(wú)法實(shí)際利用的漏洞。包括但不限于無(wú)法獲取敏感數據的接口權限漏洞等。

5.3 車(chē)機端漏洞評分標準

根據漏洞危害程度將漏洞等級分為嚴重、高危、中危、低危四個(gè)等級，每個(gè)等級評分如下：

【嚴重】：

1. 遠程獲取車(chē)載網(wǎng)關(guān)、T-BOX、遠程診斷系統、車(chē)載娛樂(lè )系統等系統特權，導致獲取車(chē)內關(guān)鍵組件單元（底盤(pán)控制系統、高級輔助駕駛系統等）的控制權的漏洞。包括但不限于遠程命令執行，任意代碼執行等漏洞。

2. 關(guān)鍵車(chē)載設備的遠程拒絕服務(wù)漏洞，包括不限于以下設備：底盤(pán)控制系統，遠程診斷系統、氣囊系統、動(dòng)力系統、ADAS高級輔助駕駛系統、雷達系統、胎壓檢測系統等。

3. 遠程未授權刷新汽車(chē)關(guān)鍵組件單元固件，例如T-BOX、車(chē)載網(wǎng)關(guān)等固件。

注：遠程指的是通過(guò)4G、WIFI、藍牙、NFC和RFID等非物理接觸方式。

【高?！浚?/p>

1. 遠程獲取重要組件單元的系統特權，如車(chē)身控制系統（儀表盤(pán)、舒適系統、燈光控制系統以及防盜系統等）。包括但不限于遠程命令執行，任意代碼執行等漏洞。

2. 非關(guān)鍵車(chē)載設備的拒絕服務(wù)漏洞，如車(chē)身控制系統（儀表盤(pán)、舒適系統、燈光控制系統以及防盜系統等）。

3. 本地通過(guò)OBD等接口獲取車(chē)載網(wǎng)關(guān)、T-BOX、遠程診斷系統、車(chē)載娛樂(lè )系統等系統特權，導致獲取車(chē)內關(guān)鍵組件單元（底盤(pán)控制系統、雷達系統、高級輔助駕駛系統等）的控制權的漏洞。

【中?！浚?/p>

1. 通過(guò)車(chē)載娛樂(lè )系統等獲取車(chē)輛及用戶(hù)敏感信息，如用戶(hù)身份信息、車(chē)輛標識信息、行車(chē)記錄信息等敏感信息。

2. 一般車(chē)載設備的拒絕服務(wù)漏洞，如定位系統、車(chē)載娛樂(lè )系統、舒適系統、電池管理、疲勞監測系統、雷達系統等。

【低?！浚?/p>

1. 繞過(guò)系統安全訪(fǎng)問(wèn)限制，但未造成實(shí)際危害的漏洞。

2. 通過(guò)車(chē)輛組件單元漏洞獲取車(chē)輛及用戶(hù)非敏感信息，如耗油量、胎壓、車(chē)輛運行數據等信息。

6. 獎勵發(fā)放標準

6.1 安全幣換算

安全幣=基礎安全幣*應用系數

安全幣換算比例：

1安全幣=10RMB

6.2 互聯(lián)網(wǎng)漏洞獎勵標準

基礎安全幣：

嚴重（10-9）、高危（8-6）

中危（5-3）、低危（2-1）

應用系數：

核心/廠(chǎng)商（10）、一般/廠(chǎng)商（4）

邊緣/廠(chǎng)商（1）、微小應用/廠(chǎng)商（0.5）

例如：某大型車(chē)企核心應用任意文件上傳獲取系統權限漏洞，計算方法為：

安全幣100=基礎安全幣（嚴重:10）*應用系數（核心:10）

安全幣對應表：

6.3 車(chē)輛制造系統和車(chē)機端漏洞獎勵標準

基礎安全幣：

嚴重（100-50）、高危（40-10）

中危（9-5）、（低危3-1）

應用類(lèi)型：

大型廠(chǎng)商（10）、小眾廠(chǎng)商（4）

廠(chǎng)商類(lèi)型以應用量為準。

額外獎勵：

對于影響巨大的車(chē)輛制造系統和車(chē)機端的漏洞，CarSRC會(huì )額外給予2萬(wàn)-5萬(wàn)RMB獎勵，并且 CarSRC會(huì )以漏洞報告者的名義向該組件官方發(fā)出報告，幫助其改進(jìn)軟件安全性。

6.4 其他獎勵

為感謝您對汽車(chē)產(chǎn)業(yè)網(wǎng)絡(luò )安全做出的貢獻，CarSRC將不定期舉行活動(dòng)，用以增加白帽子的活躍度，活動(dòng)形式多樣，不限于以下形式：安全沙龍、禮品發(fā)放、禮品卡、現金紅包等?；顒?dòng)的舉辦將通過(guò)CarSRC公告，敬請留意。

1) 常規獎勵

我們會(huì )根據每位用戶(hù)提交審核通過(guò)的不同級別的漏洞，設置每個(gè)級別對應的獎勵。

2) 季度獎勵

在每個(gè)季度結束后15個(gè)工作日內發(fā)布獎勵公告，20個(gè)工作日內發(fā)放獎勵。

該部分獎勵是對每季度對CarSRC有突出貢獻的安全專(zhuān)家獎勵，獎勵評判標準如下：

當季度提交漏洞中，由CarSRC評選高質(zhì)量漏洞獎，數量不限；若當季度沒(méi)有高質(zhì)量漏洞，則該獎勵可以為空。

3) 年度獎勵

獎勵公告當年12月進(jìn)行統計并發(fā)布，獎勵發(fā)放時(shí)間以公告時(shí)間為準。

4) 榮譽(yù)稱(chēng)號

7. 評分標準通用原則

1) 評分標準僅適用于汽車(chē)產(chǎn)業(yè)網(wǎng)絡(luò )安全業(yè)務(wù)。與此無(wú)關(guān)的漏洞，不做處理。

2) 以漏洞測試、證明危害性為借口，利用漏洞進(jìn)行損害用戶(hù)利益、深入系統獲取敏感數據、影響業(yè)務(wù)正常運作、修復前公開(kāi)、盜取用戶(hù)數據等行為的，將不予計分，同時(shí)會(huì )采取進(jìn)一步法律行動(dòng)的權利。

3) 同一漏洞最早提交者得分，其他提交者均不計分。

4) 由同一個(gè)漏洞源引起的多個(gè)漏洞只算做一個(gè)漏洞。

5) 網(wǎng)上已經(jīng)公開(kāi)的以及在其他平臺披露過(guò)的漏洞不作計分，如有發(fā)現重復提交，扣除對應漏洞積分。

6) 對已修復的漏洞，安全專(zhuān)家利用新的技術(shù)再次繞過(guò)安全防護規則，按新漏洞計分。

7) 最終業(yè)務(wù)等級的評定結果由廠(chǎng)商確定。

8) 以上解釋權歸CarSRC所有。

8. 爭議解決辦法

在漏洞情報處理過(guò)程中，如果報告者對處理流程、漏洞評分等具有異議的，請通過(guò)郵件及時(shí)溝通。CarSRC將根據漏洞情報報告者利益優(yōu)先的原則進(jìn)行處理，必要時(shí)可引入外部人士共同裁定。

來(lái)源：汽車(chē)產(chǎn)業(yè)安全應急響應中心