查看: 456|回复: 0
收起左侧

大疆奖励发现漏洞最高3万元

[复制链接]

  离线 

  • TA的每日心情
    奋斗
    2022-6-21 08:23
  • 签到天数: 2 天

    [LV.1]

    发表于 2022-9-17 10:58:53 | 显示全部楼层 |阅读模式

    有人预言,RISC-V或将是继Intel和Arm之后的第三大主流处理器体系。欢迎访问全球首家只专注于RISC-V单片机行业应用的中文网站

    您需要 登录 才可以下载或查看,没有帐号?立即注册

    x
    本帖最后由 塞巴斯蒂安 于 2022-9-17 10:58 编辑

    DJI安全应急响应中心漏洞处理与评级标准

    一、DJI声明

    1.DJI非常重视自身产品和业务系统的信息安全问题,也意识到安全研究者和社区对DJI提升自身产品和业务系统安全水平的帮助。我们承诺对每一位报告者反馈的问题都有专人负责跟进、反馈 、分析和处理,并及时给予答复。
    2.DJI恪守并支持负责任的漏洞报告流程,尊重每一位白帽子的研究成果。真诚欢迎每一位白帽子向DJI报告漏洞,我们将按照漏洞质量给予感谢和回馈。

    3.DJI将用户利益放在第一位,尽最大努力保护DJI用户的利益。

    4.DJI反对并谴责以下行为,并保留依法追究责任的权利:

    (1)以测试为借口,利用漏洞进行破坏,损害用户利益的行为,包括但不限于利用漏洞盗取用户资料、隐私及虚拟财产。
    (2)在漏洞测试过程中下载DJI的任何代码和数据。(如果发现可能导致代码和数据泄漏的问题,不实际下载内容并不会影响对漏洞的评级)。
    (3)利用漏洞攻击DJI的系统,造成系统宕机或者失效。
    (4)利用漏洞或者在测试过程中置公众安全于不顾,严重影响飞行安全或者公开空域安全的行为。
    (5)利用安全漏洞的恐吓、敲诈行为或恶意夸大漏洞影响,引起公众恐慌的行为。
    (6)不负责任的漏洞披露,恶意传播漏洞,或在报告漏洞后、漏洞未修复前,对漏洞进行公开、传播或交易的行为。
    (7)有害或者结果不可控的安全测试行为。
    (8)违反国际通用法律或者当地法规的测试行为。
    (9)不能妥善保管漏洞测试过程中的数据,导致DJI蒙受损失的行为。

    测试过程中有任何疑问,随时和DJI(bugbounty@dji.com)联系,我们将为您进行详细的指引。

    注意
    通过DJI漏洞奖励计划,向DJI提交漏洞,将等同于你已接受DJI漏洞报告和奖励的全部条款。可以在
    这里 获取条款的详细内容。

    二、漏洞报告流程
    国内芯片技术交流-大疆奖励发现漏洞最高3万元risc-v单片机中文社区(1)
    三、漏洞报告有效范围

    仅涉及以下DJI产品及服务的漏洞报告才能参与DJI漏洞奖励计划(最后一次更新时间:2017-12-25):
    1. 域名:dji.com、skypixel.com、djicdn.com、djivideos.com、dji.net、robomaster.com、djiservice.org
    2. APP: DJI GO、DJI GO 4、DJI Assistant、DJI Assistant 2等DJI官方APP
    3. 设备:P3系列、P4系列、Mavic系列、Spark、Inspire1系列、Inspire2、OSMO系列、Ronin系列、农机、行业机、飞控产品

    注意 将不会接受:1)不再销售的产品或者已经宣布不再支持的产品漏洞;2)和DJI有关的供应商或者合作伙伴的漏洞。

    四、漏洞报告要求

    符合要求并且高质量的漏洞报告将会加快DJI 漏洞评估的进程,同时加快您获得奖金的进程。高质量的报告包括:

    1. 详细描述漏洞的细节,并请包括漏洞的易利用程度和危害。
    2. 复现漏洞的详细步骤。
    3. 提供详细的测试环境信息,包括:
    (a)漏洞涉及的URL/APP 、代码片段。对于设备,请提供设备的型号,版本以及SN。
    (b)您在测试使用的公网IP地址。
    (c)您在测试时使用的用户帐号。
    (d)非破坏性的漏洞POC(比如对于RCE漏洞,运行“hello world”)。
    (e)请保留测试时的数据,并且作为报告附件提交。

    注意:缺少这些信息可能会导致我们评估漏洞困难,并且影响到对您的响应和支付奖金。

    五、负责任的漏洞披露

    DJI 鼓励负责任的漏洞披露,包括:
    1. 不在未获得 DJI 书面许可的情况下公布或告知他人漏洞细节。
    2. 获得许可后,在披露过程中不得公布与用户隐私数据、DJI 服务器地址等可能侵犯DJI及用户隐私的信息。
    3. 客观、诚实地描述漏洞的影响,夸大漏洞影响,煽动用户恐慌的行为将会受到追究。
    4. 任何访问、下载、传播DJI 源码或者数据的行为可能触犯法律,并且DJI保留追究的权利。

    六、漏洞评级因素

    在对漏洞进行评级时,DJI 将主要考虑以下几个因素:
    1. 可能泄漏的数据的敏感程度,数量。
    2. 漏洞的易利用程度。
    3. 可能对DJI用户造成的损失或者总体风险。
    4. 影响到DJI产品的范围或者服务器的范围。

    而如下的因素不会被考虑:
    1. 您在漏洞挖掘过程中投入的时间成本。
    2. 您为了漏洞挖掘所购买DJI产品的花费。
    3. 其他不能明确漏洞影响或者严重程度的因素。

    七、漏洞评级标准及奖励

    DJI会给满足条件的漏洞报告者发放奖金或其他形式的非现金奖励,以表示对漏洞报告者的感谢。
    1. 漏洞的第一报告者。
    2. DJI 安全团队认定漏洞确实有效并且产生实际影响。
    3. 漏洞报告者接受并遵守所有的条款。


    注意:1)已知漏洞不能获得奖励;2)DJI 拥有对奖励的最终解释权;3)对于奖金产生的税收,由漏洞报告者承担
    国内芯片技术交流-大疆奖励发现漏洞最高3万元risc-v单片机中文社区(2)
    设备
    国内芯片技术交流-大疆奖励发现漏洞最高3万元risc-v单片机中文社区(3)
    APP
    国内芯片技术交流-大疆奖励发现漏洞最高3万元risc-v单片机中文社区(4)
    服务器
    国内芯片技术交流-大疆奖励发现漏洞最高3万元risc-v单片机中文社区(5)
    说明
    [1]大量: 超过10000条;
    [2]敏感信息:指身份证, 护照,信用卡,订单物流信息等信息;
    [3]一般信息:指电话号码,邮件地址,用户账户等信息。

    非现金奖励
    国内芯片技术交流-大疆奖励发现漏洞最高3万元risc-v单片机中文社区(6)
    条款变更


    DJI 有权在任何时候变更漏洞奖励计划的相关条款,策略和奖金金额,而不对报告者进行通知。

    八、争议解决办法


    在漏洞报告处理过程中,如果报告者对流程处理、漏洞定级、漏洞评分等有异议的,可以通过邮箱:bugbounty@dji.com,并以标题[DJI漏洞处理异议]与工作人员及时反馈沟通。

    九、建议反馈

    任何意见和建议,欢迎通过邮箱bugbounty@dji.com进行反馈。

    最终解释权归DJI安全应急响应中心所有。

    V1.2,更新于2020年10月12日

    详见:https://security.dji.com/policy?lang=zh_CN






    上一篇:矽速2022秋招AIoT挑战赛
    下一篇:PerfV + Litex,快速探索RISC-V SoC开发,跑个Linux
    RISCV作者优文
    全球首家只专注于RISC-V单片机行业应用的中文网站
    回复

    使用道具 举报

    高级模式
    B Color Image Link Quote Code Smilies

    本版积分规则

    关闭

    RISC-V单片机中文网上一条 /2 下一条



    版权及免责声明|RISC-V单片机中文网 |网站地图

    GMT+8, 2024-3-29 00:05 , Processed in 0.515856 second(s), 49 queries .

    快速回复 返回顶部 返回列表