Основни принципи
1. UCloud отдава голямо значение на сигурността на своите продукти и бизнес и винаги е бил ангажиран с осигуряването на безопасността на потребителите
Очакваме с нетърпение да подобрим мрежата на UCloud чрез Security Response Center, като работим в тясно сътрудничество с отделни лица, организации и компании в индустрията
Ниво на безопасност.
2. UCloud Благодарим на белите хакери, които помогнаха да защитим интересите на нашите потребители и да подобрим Центъра за сигурност на UCloud
и да върна нещо обратно.
3. UCloud се противопоставя и осъжда всички уязвимости, които използват тестването на уязвимости като извинение за унищожаване и вреда на интересите на потребителите
Хакерски дейности, включително, но не само, експлоатиране на уязвимости за кражба на потребителска информация, нахлуване в бизнес системи, модифициране и кражба на свързана информация
Унифицирани данни, злонамерено разпространение на уязвимости или данни. UCloud ще поеме правна отговорност за всяко от горните действия.
Процес на обратна връзка и обработка на уязвимости
1. Подайте информация за уязвимост чрез имейл, Weibo или QQ Group.
2. В рамките на един работен ден служителите на USRC ще потвърдят получаването на доклада за уязвимост и ще последват действия, за да започнат оценка на проблема.
3. В рамките на три работни дни служителите на USRC ще разгледат въпроса, ще направят заключение и ще проверят наградата. (Ако е необходимо, ще бъде дадено.)
Репортерът комуникира и потвърждава, и моли репортера да помогне. )
4. Бизнес отделът отстранява уязвимостта и организира актуализацията да бъде онлайн, а времето за ремонт зависи от сериозността на проблема и трудността на ремонта.
5. Репортерите за уязвимости преглеждат уязвимости.
6. Разпределяйте наградите.
Критерии за оценяване на уязвимостта в сигурността
За всяко ниво на уязвимост ще проведем цялостен преглед, базиран на техническата трудност при експлоатирането на уязвимостта и нейното въздействие
Разглеждане, разделено на различни нива и с подходящи точки.
Според нивото на уязвимост на услугата, степента на вреда от уязвимост се разделя на четири нива: висок риск, среден риск, нисък риск и игнориран
Покритите уязвимости и критериите за оценяване са следните:
Висок риск:
Награди: Карти за пазаруване на стойност 1000-2000 юана или подаръци със същата стойност, включително, но не само:
1. Уязвимост, която директно получава системни привилегии (сървърни привилегии, права на база данни). Това включва, но не се ограничава до отдалечени произволни команди
Изпълнение, изпълнение на код, произволно качване на файлове за получаване на Webshell, препълване на буфер, SQL инжекция за получаване на системни права
Ограничения, уязвимости при парсиране на сървъри, уязвимости при включване на файлове и др.
2. Сериозни недостатъци в дизайна на логиката. Това включва, но не се ограничава до влизане с всеки акаунт, смяна на паролата на всеки акаунт и потвърждаване на SMS и имейл
Байпас.
3. Сериозно изтичане на чувствителна информация. Това включва, но не се ограничава до, сериозни SQL инжекции, произволно включване на файлове и др.
4. Неоторизиран достъп. Това включва, но не се ограничава до, заобикаляне на автентикация за директен достъп до фона, фоново влизане с слаба парола, слаба парола за SSH и др
Според библиотеката паролата е слаба и т.н.
5. Получаване на потребителски данни или разрешения за потребителя UCloud чрез платформата UCloud.
Средна опасност:
Награди: Картички за пазаруване или подаръци на стойност 500-1000 юана, включително, но не само:
1. Уязвимости, които изискват взаимодействие за получаване на информация за идентичността на потребителя. Включително XSS, базиран на съхранение, наред с други.
2. Дефекти в дизайна на обикновени логически конструкции. Включително, но не само, неограничено изпращане на SMS и имейли.
3. Нефокусирани продуктови линии, експлоатиране на трудни SQL инжекционни уязвимости и др.
Нисък риск:
Награди: Карти за пазаруване на стойност 100-500 юана или подаръци със същата стойност, включително, но не само:
1. Обща уязвимост при изтичане на информация. Това включва, но не се ограничава до изтичане на пътя, изтичане на SVN файлове, изтичане на LOG файлове,
phpinfo и т.н.
2. Уязвимости, които не могат да бъдат експлоатирани или трудни за експлоатация, включително, но не само, отразяващ XSS.
Игнорирай:
Това ниво включва:
1. Бъгове, които не включват проблеми със сигурността. Включително, но не само, дефекти в продуктовата функция, изкривени страници, смесване на стилове и др.
2. Уязвимости, които не могат да бъдат възпроизведени, или други проблеми, които не могат да бъдат директно отразени. Това включва, но не се ограничава до въпроси, които са изцяло спекулативни от потребителите
Въпрос.
Общи принципи на критериите за оценяване:
1. Критериите за оценяване важат само за всички продукти и услуги на UCloud. Домейните включват, но не се ограничават до, *.ucloud.cn, сървър
Включва сървъри, управлявани от UCloud, а продуктите са мобилни продукти, пуснати от UCloud.
2. Наградите за бъгове са ограничени до уязвимости, подадени в UCloud Security Response Center, а не до тези на други платформи
Точки.
3. Подаването на уязвимости, които са били разкрити в интернет, няма да бъде оценявано.
4. Оценете за най-ранния комвършеник със същата уязвимост.
5. Множество уязвимости от един и същ източник се записват само като 1.
6. За един и същ URL на връзката, ако няколко параметъра имат сходни уязвимости, една и съща връзка ще бъде различна според един кредит за уязвимост
тип наградата ще бъде дадена според степента на вреда.
7. За общи уязвимости, причинени от мобилни терминални системи, като webkit uxss, изпълнение на код и др., се дава само първата
Наградите за докладване на уязвимости вече няма да се броят за същия доклад за уязвимост, както при други продукти.
8. Крайният резултат за всяка уязвимост се определя чрез цялостното разглеждане на уязвимостта, размера на вредата и обхвата на въздействието. Възможно е
Точките на уязвимост с ниски нива на уязвимост са по-високи от тези с високи нива.
9. Изискват се бели шапки да предоставят POC/експлойт при докладване на уязвимости и да предоставят съответния анализ на уязвимостите за ускоряване на администраторите
Скоростта на обработка може да бъде пряко засегната при подаване на уязвимости, които не са предоставени от POC или експлойт, или не са анализирани подробно
Награди.
Процес на плащане на бонуси:
Персоналът на USRC преговаряше с белите шапки кога и как ще се разпределят подаръците.
Разрешаване на спорове:
Ако докладвачът има възражения срещу оценката на уязвимостта или оценяването по време на процеса на обработка на уязвимости, свържете се с администратора своевременно
Комуникация. Центърът за спешна реакция по сигурността на UCloud ще има предимство пред интересите на докладващите уязвимости и ще го направи, ако е необходимо
Въвеждане на външни правомощия за съвместно решаване.
|
Публикувано в 28.09.2015 г. 0:14:33 ч.
|
|
|
