小米公司正式成立于2010年4月，是一家专注于智能产品自主研发的移动互联网公司。小米科技授权漏洞盒子（VulBox.COM）的白帽子进行为期一周的安全测试。漏洞将在厂商完全修复后公布，项目奖励为RANK、FB金币、3台 小米手机4 以及Cuptime智能水杯。
。

项目描述：

本次测试项目类型为“RANK项目”：

1、参与测试会奖励RANK和FB金币，FB金币可用于FreeBuf商城(shop.freebuf.com)礼品兑换

2、所有漏洞将在厂商修复后公开

3、项目结束后，漏洞盒子将公布参与此项目的“白帽子RANK排行榜”

榜单TOP3：小米手机4 各1台 （据说市面上抢不到…）
特别奖：Cuptime智能水杯

规则描述：

高危安全问题（RANK：100 FB金币 100/个 ）:

直接获取业务服务器权限的漏洞。包括但不限于任意命令执 行、上传webshell、任意代码执行；直接导致严重的信息泄漏漏洞。包括但不限于核心DB的SQL注入漏洞；直接导致严重影响的逻辑漏洞。包括但不限 于任意帐号密码更改漏洞。能直接批量盗取用户身份信息的漏洞。包括但不限于SQL注入；越权访问。包括但不限于绕过认证访问后台。 

中危安全问题（RANK：30 FB金币 50/个）:

需交互才能获取用户身份信息的漏洞。包括但不限于任意文件操作漏洞，任意文件读、写、删除、下载等操作；敏感信息泄漏漏洞。包含敏感信息文件泄露（如DB连接密码）； 

低危安全问题（RANK：10）:

包括但不限于反射型 XSS（包括反射型 DOM-XSS）、普通业务的存储型XSS。轻微信息泄漏漏洞，包括但不限于路径泄漏、SVN 文件泄漏、phpinfo。难以利用但又可能存在安全隐患的问题。包括但不限于可能引起传播和利用的 Self-XSS，以及非重要敏感操作的 CSRF。

测试时间：

2014.10.15 – 2014.10.21

测试范围：

mi.com下的子域名
order.mi.com
my.mi.com
xiaomi.cn下的子域名
bbs.xiaomi.cn
home.xiaomi.cn
www.xiaomi.cn
以及http://ucenter.miui.com/uc_server16/

注意事项:

1，禁止将项目的测试范围及规则对外公开

2，漏洞在未公布之前禁止对外公开

3，禁止使用DDOS，自动化扫描工具等可能影响正常业务的攻击手法

4，涉及以上行为账户赏金将冻结，厂商保留追究法律责任的权利。

此外：

所有参与该项目测试的白帽子，最终确定漏洞数排名TOP5的，立即获得 #漏洞盒子挖洞套餐（秋冬版）# 一份，可选择如下A、B两款套餐任意一份：

挖洞套餐（秋冬版）

A套餐

三得利沁柠水 550ML*6 

上好佳鲜虾条 *2 北田 

能量99棒 蛋黄口味 180g *1

B套餐

红牛 250ML*4

旺旺仙贝 52G *1

有友凤爪 100G *1

立即开挖传送门：点这里