1. CarSRC簡(jiǎn)介

汽車(chē)產(chǎn)業(yè)網(wǎng)絡(luò)空間安全應(yīng)急響應(yīng)中心（簡(jiǎn)稱CarSRC），連接·聯(lián)合 保護(hù)你的每一次出行。我們致力于連接安全專家和汽車(chē)廠家之間的關(guān)系，并在政府及主管部門(mén)的指導(dǎo)下聯(lián)合安全專家、安全廠商及汽車(chē)廠家的力量，建立應(yīng)急響應(yīng)平臺(tái)，為汽車(chē)產(chǎn)業(yè)網(wǎng)絡(luò)空間安全保障工作做出努力。

CarSRC，汽車(chē)產(chǎn)業(yè)網(wǎng)絡(luò)安全的開(kāi)拓者，肩負(fù)著汽車(chē)產(chǎn)業(yè)的安全漏洞、黑客入侵的發(fā)現(xiàn)和處理工作；我們與安全專家們并肩而行，守護(hù)和捍衛(wèi)全球億萬(wàn)用戶的出行安全。

我們誠(chéng)邀安全專家向我們反饋在汽車(chē)產(chǎn)業(yè)挖掘發(fā)現(xiàn)的網(wǎng)絡(luò)安全漏洞。對(duì)于幫助提升汽車(chē)產(chǎn)業(yè)網(wǎng)絡(luò)空間安全的安全專家，我們將給予您感謝和回饋。歡迎發(fā)送郵件到bug@carsrc.org向我們反饋您所挖掘到的安全漏洞。

2. 基本原則

1) CarSRC非常重視車(chē)聯(lián)網(wǎng)產(chǎn)品和業(yè)務(wù)的安全問(wèn)題，我們承諾，每一位報(bào)告者反饋的問(wèn)題都有專人進(jìn)行跟進(jìn)、分析和處理，并及時(shí)給予答復(fù)。

2) CarSRC承諾，對(duì)于每一位為汽車(chē)產(chǎn)業(yè)提升安全防護(hù)、保護(hù)用戶利益的安全專家，我們將給予感謝和回饋。

3) CarSRC嚴(yán)格禁止一切以漏洞測(cè)試為借口，利用安全漏洞進(jìn)行破壞、損害用戶利益的黑客行為。

4) CarSRC嚴(yán)格禁止一切利用安全漏洞恐嚇用戶、攻擊競(jìng)爭(zhēng)對(duì)手的行為。

5) CarSRC嚴(yán)禁在漏洞發(fā)現(xiàn)和測(cè)試、驗(yàn)證過(guò)程中獲取數(shù)據(jù)超過(guò)25條（含）。

6) CarSRC嚴(yán)禁在漏洞發(fā)現(xiàn)和測(cè)試、驗(yàn)證過(guò)程中增加、刪除、修改用戶文件、目錄、數(shù)據(jù)庫(kù)內(nèi)容、結(jié)構(gòu)。

7) CarSRC希望各企業(yè)和安全研究者一起加入到守護(hù)和捍衛(wèi)全球億萬(wàn)用戶的出行安全過(guò)程中來(lái)，一起為建設(shè)安全可靠的出行環(huán)境安全而努力。

3. 適用范圍

本流程適用于CarSRC平臺(tái)所收到的所有安全漏洞。

4. 實(shí)施日期

本文檔自發(fā)布之日起一周后實(shí)行。

5. 評(píng)分標(biāo)準(zhǔn)

安全漏洞主要包含三大部分的內(nèi)容：互聯(lián)網(wǎng)漏洞、車(chē)輛制造系統(tǒng)和車(chē)機(jī)端漏洞。分別描述其評(píng)分標(biāo)準(zhǔn)。

5.1 互聯(lián)網(wǎng)漏洞評(píng)分標(biāo)準(zhǔn)

根據(jù)漏洞危害程度將漏洞等級(jí)分為嚴(yán)重、高危、中危、低危、無(wú)五個(gè)等級(jí)，每個(gè)等級(jí)評(píng)分如下：

【嚴(yán)重】：

1. 直接獲取核心系統(tǒng)權(quán)限漏洞，包括但不限于任意代碼執(zhí)行、遠(yuǎn)程命令執(zhí)行、任意文件上傳獲取webshell、可利用的遠(yuǎn)程緩沖區(qū)溢出、SQL注入獲取系統(tǒng)權(quán)限漏洞等。

2. 核心系統(tǒng)業(yè)務(wù)邏輯漏洞，包括但不限于交易支付邏輯漏洞，獲取任意賬號(hào)管理權(quán)限漏洞，核心接口邏輯校驗(yàn)漏洞等。

3. 核心業(yè)務(wù)數(shù)據(jù)泄露漏洞，包括但不限于核心DB的SQL注入漏洞，可獲取大量用戶身份信息，訂單信息、資金交易信息的接口權(quán)限校驗(yàn)漏洞等。

【高?！浚?/p>

1. 重要接口權(quán)限失效，包括但不限于越權(quán)增刪改查其他用戶資源信息、未授權(quán)訪問(wèn)重要系統(tǒng)后臺(tái)、重要系統(tǒng)任意文件讀取和下載漏洞等。

2. 具有高風(fēng)險(xiǎn)的敏感信息泄露漏洞，包括但不限于重要后臺(tái)賬號(hào)密碼泄露、重要系統(tǒng)源代碼泄露、非核心DB的SQL注入漏洞等。

3. 具有一定影響力的核心業(yè)務(wù)漏洞，包括但不限于可獲取敏感信息或者執(zhí)行敏感操作的存儲(chǔ)型XSS 漏洞。

【中?！浚?/p>

1. 非核心業(yè)務(wù)的普通越權(quán)操作。

2. 普通的信息泄露，包含少量泄露的手機(jī)號(hào)，郵箱等個(gè)人信息以及少量敏感信息的源代碼壓縮包泄漏。

3. 需要用戶交互方可影響的漏洞，包括但不限于重要敏感操作的 CSRF、普通業(yè)務(wù)的存儲(chǔ)型 XSS等。

【低?！浚?/p>

1. 無(wú)敏感操作的后臺(tái)賬號(hào)弱口令，不包括所有功能404無(wú)法使用或無(wú)權(quán)限的情況

2. 普通業(yè)務(wù)的撞庫(kù)

3. 短信轟炸

4. 無(wú)用戶量或用戶量極少的存儲(chǔ)型xss漏洞

【無(wú)】：

1. 不涉及安全問(wèn)題的功能缺陷。包括但不限于頁(yè)面亂碼，靜態(tài)資源文件遍歷，頁(yè)面樣式不兼容等。

2. 無(wú)法復(fù)現(xiàn)，未能證明危害的漏洞。

3. 無(wú)法利用的“漏洞”。包括但不限于沒(méi)有實(shí)際意義的掃描器漏洞報(bào)告（如 Web Server 的低版本）、Self-XSS、6位數(shù)驗(yàn)證碼爆破，反射型XSS，非敏感操作的 CSRF(如收藏、添加購(gòu)物車(chē)、非重要業(yè)務(wù)的普通個(gè)人資料修改等)、無(wú)意義的源碼泄漏、內(nèi)網(wǎng) IP 地址/域名泄漏、401 基礎(chǔ)認(rèn)證釣魚(yú)、HTTP.sys遠(yuǎn)程代碼執(zhí)行，短文件目錄枚舉等。

4. 基本無(wú)影響的信息泄露漏洞，包括但不限于服務(wù)器物理路徑、非核心代碼SVN，GIT，網(wǎng)站備份文件泄漏、無(wú)危害的phpinfo、邊緣系統(tǒng)文件、本地日志等。

注：所有威脅將結(jié)合漏洞實(shí)際利用危害評(píng)估最終得分，IP地址的漏洞需自行判斷廠商歸屬，且專門(mén)給出截圖證據(jù)；密文id越權(quán)，需提供可獲取密文id的辦法（如破解加密方式或大量獲取密文id的方式）。

5.2 車(chē)輛制造系統(tǒng)漏洞評(píng)分標(biāo)準(zhǔn)

根據(jù)漏洞危害程度將漏洞等級(jí)分為嚴(yán)重、高危、中危、低危四個(gè)等級(jí)，每個(gè)等級(jí)評(píng)分如下：

【嚴(yán)重】：

1. 獲取核心系統(tǒng)權(quán)限漏洞，包括但不限于任意代碼執(zhí)行、遠(yuǎn)程命令執(zhí)行、緩沖區(qū)溢出等漏洞，導(dǎo)致大量核心生產(chǎn)數(shù)據(jù)泄露，生產(chǎn)鏈路控制等。

2. 核心業(yè)務(wù)數(shù)據(jù)泄露漏洞，包括但不限于核心系統(tǒng)賬號(hào)泄露（包含弱口令）、核心接口權(quán)限失效等漏洞，導(dǎo)致客戶數(shù)據(jù)、廠商生產(chǎn)數(shù)據(jù)、重要零部件設(shè)計(jì)數(shù)據(jù)等泄露。

3. 可致核心業(yè)務(wù)系統(tǒng)癱瘓的拒絕服務(wù)漏洞，導(dǎo)致生產(chǎn)鏈路中斷。

【高危】：

1. 重要接口權(quán)限失效，包括但不限于未授權(quán)訪問(wèn)重要系統(tǒng)后臺(tái)、重要系統(tǒng)任意文件讀取和下載漏洞等。

2. 敏感信息泄露漏洞，包括但不限于重要后臺(tái)賬號(hào)密碼泄露、重要系統(tǒng)源代碼泄露等。

【中?！浚?/p>

1. 非核心業(yè)務(wù)的普通權(quán)限操作漏洞。

2. 普通的信息泄露。

【低?！浚?/p>

1. 輕微的信息泄露。

2. 確定存在，但是無(wú)法實(shí)際利用的漏洞。包括但不限于無(wú)法獲取敏感數(shù)據(jù)的接口權(quán)限漏洞等。

5.3 車(chē)機(jī)端漏洞評(píng)分標(biāo)準(zhǔn)

根據(jù)漏洞危害程度將漏洞等級(jí)分為嚴(yán)重、高危、中危、低危四個(gè)等級(jí)，每個(gè)等級(jí)評(píng)分如下：

【嚴(yán)重】：

1. 遠(yuǎn)程獲取車(chē)載網(wǎng)關(guān)、T-BOX、遠(yuǎn)程診斷系統(tǒng)、車(chē)載娛樂(lè)系統(tǒng)等系統(tǒng)特權(quán)，導(dǎo)致獲取車(chē)內(nèi)關(guān)鍵組件單元（底盤(pán)控制系統(tǒng)、高級(jí)輔助駕駛系統(tǒng)等）的控制權(quán)的漏洞。包括但不限于遠(yuǎn)程命令執(zhí)行，任意代碼執(zhí)行等漏洞。

2. 關(guān)鍵車(chē)載設(shè)備的遠(yuǎn)程拒絕服務(wù)漏洞，包括不限于以下設(shè)備：底盤(pán)控制系統(tǒng)，遠(yuǎn)程診斷系統(tǒng)、氣囊系統(tǒng)、動(dòng)力系統(tǒng)、ADAS高級(jí)輔助駕駛系統(tǒng)、雷達(dá)系統(tǒng)、胎壓檢測(cè)系統(tǒng)等。

3. 遠(yuǎn)程未授權(quán)刷新汽車(chē)關(guān)鍵組件單元固件，例如T-BOX、車(chē)載網(wǎng)關(guān)等固件。

注：遠(yuǎn)程指的是通過(guò)4G、WIFI、藍(lán)牙、NFC和RFID等非物理接觸方式。

【高?！浚?/p>

1. 遠(yuǎn)程獲取重要組件單元的系統(tǒng)特權(quán)，如車(chē)身控制系統(tǒng)（儀表盤(pán)、舒適系統(tǒng)、燈光控制系統(tǒng)以及防盜系統(tǒng)等）。包括但不限于遠(yuǎn)程命令執(zhí)行，任意代碼執(zhí)行等漏洞。

2. 非關(guān)鍵車(chē)載設(shè)備的拒絕服務(wù)漏洞，如車(chē)身控制系統(tǒng)（儀表盤(pán)、舒適系統(tǒng)、燈光控制系統(tǒng)以及防盜系統(tǒng)等）。

3. 本地通過(guò)OBD等接口獲取車(chē)載網(wǎng)關(guān)、T-BOX、遠(yuǎn)程診斷系統(tǒng)、車(chē)載娛樂(lè)系統(tǒng)等系統(tǒng)特權(quán)，導(dǎo)致獲取車(chē)內(nèi)關(guān)鍵組件單元（底盤(pán)控制系統(tǒng)、雷達(dá)系統(tǒng)、高級(jí)輔助駕駛系統(tǒng)等）的控制權(quán)的漏洞。

【中?！浚?/p>

1. 通過(guò)車(chē)載娛樂(lè)系統(tǒng)等獲取車(chē)輛及用戶敏感信息，如用戶身份信息、車(chē)輛標(biāo)識(shí)信息、行車(chē)記錄信息等敏感信息。

2. 一般車(chē)載設(shè)備的拒絕服務(wù)漏洞，如定位系統(tǒng)、車(chē)載娛樂(lè)系統(tǒng)、舒適系統(tǒng)、電池管理、疲勞監(jiān)測(cè)系統(tǒng)、雷達(dá)系統(tǒng)等。

【低?！浚?/p>

1. 繞過(guò)系統(tǒng)安全訪問(wèn)限制，但未造成實(shí)際危害的漏洞。

2. 通過(guò)車(chē)輛組件單元漏洞獲取車(chē)輛及用戶非敏感信息，如耗油量、胎壓、車(chē)輛運(yùn)行數(shù)據(jù)等信息。

6. 獎(jiǎng)勵(lì)發(fā)放標(biāo)準(zhǔn)

6.1 安全幣換算

安全幣=基礎(chǔ)安全幣*應(yīng)用系數(shù)

安全幣換算比例：

1安全幣=10RMB

6.2 互聯(lián)網(wǎng)漏洞獎(jiǎng)勵(lì)標(biāo)準(zhǔn)

基礎(chǔ)安全幣：

嚴(yán)重（10-9）、高危（8-6）

中危（5-3）、低危（2-1）

應(yīng)用系數(shù)：

核心/廠商（10）、一般/廠商（4）

邊緣/廠商（1）、微小應(yīng)用/廠商（0.5）

例如：某大型車(chē)企核心應(yīng)用任意文件上傳獲取系統(tǒng)權(quán)限漏洞，計(jì)算方法為：

安全幣100=基礎(chǔ)安全幣（嚴(yán)重:10）*應(yīng)用系數(shù)（核心:10）

安全幣對(duì)應(yīng)表：

6.3 車(chē)輛制造系統(tǒng)和車(chē)機(jī)端漏洞獎(jiǎng)勵(lì)標(biāo)準(zhǔn)

基礎(chǔ)安全幣：

嚴(yán)重（100-50）、高危（40-10）

中危（9-5）、（低危3-1）

應(yīng)用類型：

大型廠商（10）、小眾廠商（4）

廠商類型以應(yīng)用量為準(zhǔn)。

額外獎(jiǎng)勵(lì)：

對(duì)于影響巨大的車(chē)輛制造系統(tǒng)和車(chē)機(jī)端的漏洞，CarSRC會(huì)額外給予2萬(wàn)-5萬(wàn)RMB獎(jiǎng)勵(lì)，并且 CarSRC會(huì)以漏洞報(bào)告者的名義向該組件官方發(fā)出報(bào)告，幫助其改進(jìn)軟件安全性。

6.4 其他獎(jiǎng)勵(lì)

為感謝您對(duì)汽車(chē)產(chǎn)業(yè)網(wǎng)絡(luò)安全做出的貢獻(xiàn)，CarSRC將不定期舉行活動(dòng)，用以增加白帽子的活躍度，活動(dòng)形式多樣，不限于以下形式：安全沙龍、禮品發(fā)放、禮品卡、現(xiàn)金紅包等?；顒?dòng)的舉辦將通過(guò)CarSRC公告，敬請(qǐng)留意。

1) 常規(guī)獎(jiǎng)勵(lì)

我們會(huì)根據(jù)每位用戶提交審核通過(guò)的不同級(jí)別的漏洞，設(shè)置每個(gè)級(jí)別對(duì)應(yīng)的獎(jiǎng)勵(lì)。

2) 季度獎(jiǎng)勵(lì)

在每個(gè)季度結(jié)束后15個(gè)工作日內(nèi)發(fā)布獎(jiǎng)勵(lì)公告，20個(gè)工作日內(nèi)發(fā)放獎(jiǎng)勵(lì)。

該部分獎(jiǎng)勵(lì)是對(duì)每季度對(duì)CarSRC有突出貢獻(xiàn)的安全專家獎(jiǎng)勵(lì)，獎(jiǎng)勵(lì)評(píng)判標(biāo)準(zhǔn)如下：

當(dāng)季度提交漏洞中，由CarSRC評(píng)選高質(zhì)量漏洞獎(jiǎng)，數(shù)量不限；若當(dāng)季度沒(méi)有高質(zhì)量漏洞，則該獎(jiǎng)勵(lì)可以為空。

3) 年度獎(jiǎng)勵(lì)

獎(jiǎng)勵(lì)公告當(dāng)年12月進(jìn)行統(tǒng)計(jì)并發(fā)布，獎(jiǎng)勵(lì)發(fā)放時(shí)間以公告時(shí)間為準(zhǔn)。

4) 榮譽(yù)稱號(hào)

7. 評(píng)分標(biāo)準(zhǔn)通用原則

1) 評(píng)分標(biāo)準(zhǔn)僅適用于汽車(chē)產(chǎn)業(yè)網(wǎng)絡(luò)安全業(yè)務(wù)。與此無(wú)關(guān)的漏洞，不做處理。

2) 以漏洞測(cè)試、證明危害性為借口，利用漏洞進(jìn)行損害用戶利益、深入系統(tǒng)獲取敏感數(shù)據(jù)、影響業(yè)務(wù)正常運(yùn)作、修復(fù)前公開(kāi)、盜取用戶數(shù)據(jù)等行為的，將不予計(jì)分，同時(shí)會(huì)采取進(jìn)一步法律行動(dòng)的權(quán)利。

3) 同一漏洞最早提交者得分，其他提交者均不計(jì)分。

4) 由同一個(gè)漏洞源引起的多個(gè)漏洞只算做一個(gè)漏洞。

5) 網(wǎng)上已經(jīng)公開(kāi)的以及在其他平臺(tái)披露過(guò)的漏洞不作計(jì)分，如有發(fā)現(xiàn)重復(fù)提交，扣除對(duì)應(yīng)漏洞積分。

6) 對(duì)已修復(fù)的漏洞，安全專家利用新的技術(shù)再次繞過(guò)安全防護(hù)規(guī)則，按新漏洞計(jì)分。

7) 最終業(yè)務(wù)等級(jí)的評(píng)定結(jié)果由廠商確定。

8) 以上解釋權(quán)歸CarSRC所有。

8. 爭(zhēng)議解決辦法

在漏洞情報(bào)處理過(guò)程中，如果報(bào)告者對(duì)處理流程、漏洞評(píng)分等具有異議的，請(qǐng)通過(guò)郵件及時(shí)溝通。CarSRC將根據(jù)漏洞情報(bào)報(bào)告者利益優(yōu)先的原則進(jìn)行處理，必要時(shí)可引入外部人士共同裁定。

來(lái)源：汽車(chē)產(chǎn)業(yè)安全應(yīng)急響應(yīng)中心