漏洞奖励计划指南


欢迎您加入 DJI Bug Bounty 项目,本项目旨在提升产品与业务系统的信息安全水平。DJI 高度重视信息安全,并充分认可安全研究者及安全社区在推动 DJI 安全能力提升方面的重要价值。我们鼓励安全研究者报告 DJI 产品或服务中存在的安全漏洞。对于确认有效的漏洞,我们将根据报告质量和实际安全影响给予相应的奖励和认可。


一、漏洞处理流程


漏洞报告流程


您进入 DSRC https://security.dji.com 后可根据相关指引提交 DJI 产品和服务漏洞。DJI 将对您提交的漏洞进行评估,若被认定为有效漏洞,DJI 将给予每个漏洞至少 350 人民币的奖励,DJI 会从奖励金中扣除个人所得税(如有)。


【漏洞报告有效范围】


(1)Web域名:dji.com、dji.net、djicdn.com、djivideos.com、djiservice.org、djiag.com、skypixel.com、robomaster.com、djiits.com、djigate.com、djienterprise.com
(2)APP:DJI Fly、DJI Mimo、DJI Ronin、畅片、DJI Pilot、大疆农服、大疆行业、DJI Home、大疆商城
(3)桌面客户端:DJI Assistant、DJI Terra、DJI Pilot PE
(4)硬件设备:在 DJI 安全维护周期内的相关产品。


请注意:
(1)APP/小程序/桌面客户端的服务端漏洞均归属于Web资产;
(2)DJI 不接受对于停止销售或者已经官方宣布不再支持的产品或服务的报告反馈:
【暂不纳入收录范围的Web资产】edu.dji.com、gsp.dji.com
【已停止支持的产品】 EOL产品列表
(3)DJI 原则上不接受关于第三方产品或服务的漏洞反馈。仅以下情况的第三方组件、产品或服务可纳入收录范围:可证明问题存在于DJI部署环境中、存在实际可利用链且最终能够对DJI或其他用户产生实际安全影响。


【漏洞报告要求】


合格报告的基本要求


一份合格的漏洞报告必须包含以下内容:
1、漏洞描述:清晰说明漏洞类型、漏洞成因及所在功能模块。
2、影响范围:明确受影响的产品版本、系统组件、用户群体。
3、复现步骤:提供完整、可操作的详细复现过程,即:
(1)测试环境说明(漏洞涉及的业务系统、设备型号、操作系统、URL等);
(2)测试过程中执行的请求参数、Payload及其他相关配置信息;
(3)测试过程中的执行结果说明;
(4)请保留测试数据,并作为报告附件提交。
4、漏洞证明:提供可用的POC代码或实际复现过程的截图/录屏,用以证明漏洞实际存在。
5、安全影响分析:说明攻击者如何在真实场景中能够有实际可行的利用链完成漏洞利用,以证明漏洞实际存在对用户数据、系统完整性或服务可用性的实际危害。


报告质量分级


报告质量分级


请注意:以下类型的报告将直接归类为无效报告驳回,不会进入报告评审流程:
(1)仅包含自动化扫描工具的原始输出,未经实际验证分析的报告;
(2)仅引用组件版本漏洞或其他CVE编号但无法证明实际可利用性的报告;
(3)仅基于理论推测的描述性报告;
(4)内容模糊,无法定位具体问题的报告。


关于AI报告的声明


我们支持使用AI进行代码审计、POC脚本编写等辅助验证,但不支持未经人工验证就将AI的推测性分析作为报告直接提交。所有报告需反映已完成实际核实验证和独立分析。如若判定为AI报告,直接驳回。


黑名单机制


(1)首次提交 AI 生成报告或无效报告:警告并驳回报告;
(2)提交3份及以上 AI 生成报告或无效报告:暂停项目参与资格90天;
(3)经上述处罚仍持续提交 AI 生成报告或无效报告:永久暂停项目参与资格并在平台公示。


二、漏洞评级及奖励标准


【漏洞奖励要求】


DJI将向满足以下条件的报告者发放奖励,以表示对报告者的感谢:
(1)漏洞的首位上报者;
(2)DJI 安全团队认定报告内容属实并且能够对 DJI 环境产生实际安全影响;
(3)报告者遵守保密义务,任何漏洞详情或其他保密信息的披露均在已获得大疆事先书面授权且漏洞修复满30日的情况下作出;
(4)报告者接受并遵守所有的条款。


请注意:
(1)DJI 已知漏洞不能获得奖励;
(2)DJI 拥有对奖励的最终解释权;
(3)对于奖励产生的税收,由报告者承担;
(4)DJI有权基于 大疆 Bug Bounty 项目使用协议 向不符合条件的报告者追究违约责任,包括但不限于要求退还项目奖金。


【漏洞评级因素】


(1)漏洞利用条件:漏洞的易利用程度,包括利用复杂度、所需权限、攻击前提等;
(2)漏洞影响范围:受影响的产品、服务、用户数量及系统覆盖面;
(3)漏洞影响程度:可能造成的实际危害,包括数据泄露的敏感程度和数量、对DJI和用户造成的实际损失等。


请注意:在对报告进行评级时,下列因素不在 DJI 的考虑范围:
(1)您在漏洞挖掘过程中投入的时间成本、人力成本;
(2)您为了漏洞挖掘所购买DJI产品的花费;
(3)其他不能明确漏洞影响或严重程度的因素。


【漏洞评级标准】


漏洞评级细则: 漏洞评级与奖金标准


此外,对于经评估为真实有效的安全情报,基础奖励为500人民币。若该情报揭示了重大威胁行为、攻击组织活动或高危泄露事件,将视严重程度给予更高奖励,不设上限。


请注意:安全奖励计划关注的是对真实用户和系统有实际安全影响的问题。理论上存在但无法证明实际影响的漏洞或安全情报不在奖励范围内。


【漏洞评级争议处理】


若报告者对报告评级或奖励金额存在异议,可在收到评估结果后7天内提交申诉,申诉将由DJI安全评审团进行复核确认。二次复核结果即为最终结论。


三、漏洞修复说明


致命/高/中级别漏洞将在90个工作日内修复,低级别漏洞将在180个工作日内修复。漏洞修复可能会受环境或硬件的限制,实际修复时间将根据具体情况确认。


四、漏洞披露要求


关于漏洞的披露,我们遵循协调披露原则,具体要求如下:
(1)任何漏洞详情或其他保密信息的披露均在已获得DJI事先书面授权且漏洞修复满30日的情况下作出;
(2)获得 DJI 的书面许可后,在披露过程中不公布用户数据、用户隐私或 DJI 服务器地址等可能损害 DJI 及用户合法权益的信息;
(3)必须客观、真实描述漏洞的影响,任何夸大漏洞影响、煽动用户、恶意制造恐慌的行为将会受到追究;
(4)任何访问、下载、传播 DJI 源码或者数据的行为可能触犯法律,并且 DJI 保留追究的权利。


为评估您的披露请求,请您下载并填写《漏洞披露申请信息收集表》,并将该表与计划公开披露的完整内容及相关资料一并发送至邮箱 bugbounty@dji.com,我们将在收到完整材料后启动审核流程,审核通过后,DJI 将向您提供书面许可。


漏洞披露申请信息表: 《漏洞披露申请信息收集表》


五、测试行为准则


【允许行为】


(1)仅在授权范围内进行安全测试;
(2)仅使用自己创建的测试账户进行验证;
(3)发现漏洞后立即停止进一步利用,转为报告提交;
(4)对漏洞细节保密,直至我方完成修复并公开披露或与我方完成漏洞披露协商(详见第四章)。


【禁止行为】


以下行为将导致报告无效并可能面临法律追责:


(1)访问、修改、删除其他用户的真实数据;
(2)执行任何形式的拒绝服务(DoS/DDoS)攻击;
(3)在未获得披露授权前向第三方披露/公开披露漏洞详情;
(4)利用漏洞植入后门、持久化访问或横向移动;
(5)对用户发送钓鱼邮件、垃圾邮件或社会工程攻击;
(6)其他违反法律法规或侵害合法权益的行为。