Základní principy
1. UCloud přikládá velký důraz na bezpečnost svých produktů a podnikání a vždy se zavázal zajistit bezpečnost uživatelů
Těšíme se na rozšíření sítě UCloud prostřednictvím Security Response Center úzkou spoluprací s jednotlivci, organizacemi a firmami v oboru
Úroveň bezpečnosti.
2. UCloud Děkujeme hackerům s bílým kloboukem, kteří pomohli chránit zájmy našich uživatelů a zlepšovali bezpečnostní centrum UCloud
a vracet něco zpět.
3. UCloud odmítá a odsuzuje všechny zranitelnosti, které používají testování zranitelnosti jako záminku k ničení a poškozování zájmů uživatelů
Hackerské aktivity, včetně, ale nejen, zneužívání zranitelností ke krádeži uživatelských informací, narušení obchodních systémů, úpravám a krádežím souvisejících informací
sjednocená data, škodlivé šíření zranitelností nebo dat. UCloud bude usilovat o právní odpovědnost za některý z výše uvedených činů.
Proces zpětné vazby a zpracování zranitelností
1. Odesílejte informace o zranitelnostech e-mailem, na Weibo nebo do skupiny QQ.
2. Do jednoho pracovního dne zaměstnanci USRC potvrdí obdržení zprávy o zranitelnosti a následně začnou s hodnocením problému.
3. Do tří pracovních dnů se zaměstnanci USRC zabývají záležitostí, vydají závěr a zkontrolují ocenění. (Pokud bude třeba, bude poskytnut.)
Reportér komunikuje, potvrzuje a žádá reportéra o pomoc. )
4. Obchodní oddělení zranitelnost opraví a zajistí online aktualizaci, přičemž doba opravy závisí na závažnosti problému a obtížnosti opravy.
5. Reportéři zranitelností přezkoumávají zranitelnosti.
6. Rozdělujte odměny.
Kritéria pro hodnocení bezpečnostních zranitelností
Pro každou úroveň zranitelnosti provedeme komplexní zkoumání založené na technické obtížnosti zneužití zranitelnosti a jejím dopadu
Úvahy, rozdělené do různých úrovní a přidané odpovídající body.
Podle úrovně služby zranitelnosti je stupeň poškození zranitelností rozdělen do čtyř úrovní: vysoké riziko, střední riziko, nízké riziko a ignorované
Pokryté zranitelnosti a kritéria pro hodnocení jsou následující:
Vysoké riziko:
Odměny: Nákupní karty v hodnotě 1000–2000 jüanů nebo dárky stejné hodnoty, včetně, ale nejen:
1. Zranitelnost, která přímo získává systémová oprávnění (serverová oprávnění, databázová práva). To zahrnuje, ale není omezeno na vzdálené libovolné příkazy
Spouštění, spuštění kódu, libovolné nahrávání souborů pro Webshell, přetečení bufferu, SQL injekce pro získání systémových práv
Omezení, zranitelnosti při analýze serverů, zranitelnosti při začleňování souborů atd.
2. Závažné logické konstrukční chyby. To zahrnuje, ale není omezeno na přihlášení s jakýmkoli účtem, změnu hesla k jakémukoliv účtu a ověření SMS a e-mailů
Bypass.
3. Vážný únik citlivých informací. To zahrnuje, ale není omezeno na, vážné SQL injekce, libovolné zařazení souborů atd.
4. Neoprávněný přístup. To zahrnuje, ale není omezeno na obejití autentizace pro přímý přístup na pozadí, slabé heslo pro přihlášení na pozadí, slabé heslo pro SSH atd
Podle knihovny je heslo slabé atd.
5. Získat uživatelská data nebo oprávnění uživatele UCloud prostřednictvím platformy UCloud.
Střední nebezpečí:
Odměny: nákupní karty nebo dárky stejné hodnoty v hodnotě 500–1000 jüanů, včetně, ale nejen:
1. Zranitelnosti, které vyžadují interakci pro získání informací o identitě uživatele. Včetně úložného XSS a dalších.
2. Běžné logické konstrukční vady. Včetně neomezeného zasílání SMS a e-mailů.
3. Nezaměřené produktové řady, zneužívání obtížných SQL injekčních zranitelností atd.
Nízké riziko:
Odměny: Nákupní karty v hodnotě 100–500 jüanů nebo dárky stejné hodnoty, včetně, ale nejen:
1. Zranitelnost obecného úniku informací. To zahrnuje, ale není omezeno na, úniky cest, úniky souborů SVN, úniky LOG souborů,
phpinfo atd.
2. Zranitelnosti, které nelze zneužít nebo je obtížné zneužít, včetně, ale nejen, reflexivního XSS.
Ignorovat:
Tato úroveň zahrnuje:
1. Chyby, které nezahrnují bezpečnostní problémy. Včetně vad produktové funkce, zkreslených stránek, míchání stylů atd.
2. Zranitelnosti, které nelze reprodukovat, nebo jiné problémy, které nelze přímo reflektovat. To zahrnuje, ale není omezeno na otázky, které jsou čistě spekulativní vůči uživatelům
Otázka.
Obecné principy hodnotících kritérií:
1. Kritéria hodnocení se vztahují pouze na všechny produkty a služby UCloud. Doménová jména zahrnují, ale nejsou omezena na, *.ucloud.cn, server
Obsahuje servery provozované UCloud a produkty jsou mobilní produkty vydané společností UCloud.
2. Odměny za chyby jsou omezeny na zranitelnosti zadané v UCloud Security Response Center, nikoli na jiných platformách
Body.
3. Odesílání zranitelností, které byly zveřejněny na internetu, nebude hodnoceno.
4. Skóre pro nejranějšího páchatele se stejnou zranitelností.
5. Více zranitelností ze stejného zdroje zranitelnosti je zaznamenáno pouze jako 1.
6. Pro stejnou URL odkazu, pokud má více parametrů podobné zranitelnosti, stejný odkaz se liší podle jednoho kreditu zranitelnosti
typ, odměna bude udělena podle míry újmy.
7. Pro obecné zranitelnosti způsobené mobilními terminálovými systémy, jako je webkit uxss, provádění kódu atd., je uvedena pouze první
Odměny za hlášení zranitelností již nebudou započítávány do stejné zprávy o zranitelnosti jako jiné produkty.
8. Konečné skóre každé zranitelnosti je určeno komplexním zvážením zneužitelnosti zranitelnosti, velikosti škody a rozsahu dopadu. Je to možné
Body zranitelnosti s nízkou úrovní zranitelnosti jsou vyšší než zranitelnosti s vysokou úrovní zranitelnosti.
9. Bílé klobouky jsou požádány, aby při hlášení zranitelností poskytly POC/exploit a poskytly odpovídající analýzu zranitelností pro urychlení administrátorů
Rychlost zpracování může být přímo ovlivněna u podání zranitelností, které nejsou poskytnuty POC nebo jsou zneužity, nebo nejsou podrobně analyzovány
Odměny.
Proces vyplácení bonusu:
Zaměstnanci USRC vyjednávali s bílými klobouky o tom, kdy a jak budou dárky rozděleny.
Řešení sporů:
Pokud má nahlasovatel jakékoli námitky proti hodnocení zranitelnosti nebo skórování zranitelnosti během procesu řešení zranitelnosti, kontaktujte administrátora včas
Komunikace. Centrum pro bezpečnostní krizovou reakci UCloud bude mít přednost před zájmy hlásitelů zranitelností a bude tak činit, pokud to bude nutné
Přivést externí orgány ke společnému rozhodování.
|
Zveřejněno 28.09.2015 0:14:33
|
|
|
