Denne artikel er en spejling af maskinoversættelse, klik venligst her for at springe til den oprindelige artikel.

Architect_Programmer_Code Landbrugsnetværk»Arkitekt Andre teknologier Sikker offensiv og forsvar UCloud sårbarhedshåndteringsproces og belønningsdetaljer
Udsigt: 12750|Svar: 0

[Sikkerhedssårbarhed] UCloud sårbarhedshåndteringsproces og belønningsdetaljer

[Kopier link]
Opslået på 28/09/2015 00.14.33 | | |
Grundlæggende principper
1. UCloud tillægger sikkerheden af sine produkter og forretning stor betydning og har altid været engageret i at sikre brugernes sikkerhed
    Vi ser frem til at styrke UClouds netværk gennem Security Response Center ved at arbejde tæt sammen med enkeltpersoner, organisationer og virksomheder i branchen
    Sikkerhedsniveau.
2. UCloud Vi takker de hvide hat-hackere, som hjalp med at beskytte vores brugeres interesser og hjælpe med at forbedre UCloud Security Center
    og give noget tilbage.
3. UCloud modsætter sig og fordømmer alle sårbarheder, der bruger sårbarhedstest som undskyldning for at ødelægge og skade brugernes interesser
    Hackingaktiviteter, herunder men ikke begrænset til udnyttelse af sårbarheder til at stjæle brugerinformation, invadere forretningssystemer, ændre og stjæle relateret information
    Unified data, ondsindet spredning af sårbarheder eller data. UCloud vil påtage sig juridisk ansvar for nogen af ovenstående handlinger.
Sårbarhedsfeedback og håndteringsproces
1. Indsend sårbarhedsoplysninger via e-mail, Weibo eller QQ-gruppe.
2. Inden for en arbejdsdag vil USRC-personalet bekræfte modtagelsen af sårbarhedsrapporten og følge op for at begynde at vurdere problemet.
3. Inden for tre arbejdsdage vil USRC-personalet tage stilling til sagen, give en konklusion og kontrollere tildelingen. (Hvis nødvendigt, vil det blive givet.)
    Reporteren kommunikerer og bekræfter og beder reporteren om hjælp. )
4. Forretningsafdelingen retter sårbarheden og arrangerer, at opdateringen går online, og reparationstiden afhænger af problemets alvor og reparationens sværhedsgrad.
5. Sårbarhedsrapportører gennemgår sårbarheder.
6. Uddel belønninger.

Kriterier for scoring af sikkerhedssårbarheder
For hvert sårbarhedsniveau vil vi foretage en omfattende undersøgelse baseret på den tekniske vanskelighed ved at udnytte sårbarheden og sårbarhedens indvirkning
Overvejelse, opdelt i forskellige niveauer og givet tilsvarende point.
Afhængigt af serviceniveauet af sårbarhed opdeles graden af sårbarhedskaden i fire niveauer: høj risiko, middel risiko, lav risiko og ignoreret
De dækkede sårbarheder og scoringskriterierne er som følger:
Høj risiko:
Belønninger: Indkøbskort til en værdi af 1000-2000 yuan eller gaver af samme værdi, herunder men ikke begrænset til:
1. En sårbarhed, der direkte opnår systemrettigheder (serverrettigheder, databaserettigheder). Dette inkluderer, men er ikke begrænset til, fjerne, vilkårlige kommandoer
    Eksekvering, kodeeksekvering, vilkårlig filupload for at få Webshell, buffer overflow, SQL-injektion for at få systemrettigheder
    Begrænsninger, serverparsing-sårbarheder, filinkluderingssårbarheder osv.
2. Alvorlige logiske designfejl. Dette inkluderer, men er ikke begrænset til, at logge ind med en hvilken som helst konto, ændre adgangskoden til en konto og verificere SMS og e-mail
    Bypass.
3. Alvorlig lækage af følsomme oplysninger. Dette inkluderer, men er ikke begrænset til, seriøs SQL-injektion, vilkårlig filinddragelse osv.

4. Uautoriseret adgang. Dette inkluderer, men er ikke begrænset til, at omgå autentificering for at få direkte adgang til baggrunden, baggrundslogin svag adgangskode, SSH svag adgangskode osv
    Ifølge biblioteket er adgangskoden svag osv.
5. Få bruger-UCloud-brugerdata eller tilladelser via UCloud-platformen.
Middel fare:
Belønninger: Indkøbskort eller gaver af samme værdi for 500-1000 yuan, herunder men ikke begrænset til:
1. Sårbarheder, der kræver interaktion for at opnå brugeridentitetsoplysninger. Inklusive lagringsbaseret XSS, blandt andre.
2. Almindelige logikdesignfejl. Inklusive, men ikke begrænset til, ubegrænset SMS- og e-mail-udsendelse.
3. Ufokuserede produktlinjer, udnyttelse af vanskelige SQL-injektionssårbarheder osv.

Lav risiko:
Belønninger: Indkøbskort til en værdi af 100-500 yuan eller gaver af samme værdi, herunder men ikke begrænset til:
1. Generel sårbarhed ved informationslækage. Dette inkluderer, men er ikke begrænset til, sti-lækage, SVN-fil-lækage, LOG-fil-lækage,
    phpinfo osv.
2. Sårbarheder, der ikke kan udnyttes eller er svære at udnytte, herunder men ikke begrænset til reflekterende XSS.
Ignorer:
Dette niveau omfatter:
1. Fejl, der ikke involverer sikkerhedsproblemer. Inklusive, men ikke begrænset til, produktfunktionsfejl, forvanskede sider, stilblanding osv.
2. Sårbarheder, der ikke kan reproduceres, eller andre problemer, der ikke direkte kan afspejles. Dette inkluderer, men er ikke begrænset til, spørgsmål, der udelukkende er brugerspekulative
    Spørgsmål.

Generelle principper for scoringskriterier:
1. Scoringskriterierne gælder kun for alle UClouds produkter og tjenester. Domænenavne inkluderer, men er ikke begrænset til, *.ucloud.cn, server
    Inkluderer servere drevet af UCloud, og produkterne er mobile produkter udgivet af UCloud.
2. Fejlbelønninger er begrænset til sårbarheder, der indsendes på UCloud Security Response Center, ikke på andre platforme
    Point.
3. Indsendelse af sårbarheder, der er offentliggjort på internettet, vil ikke blive bedømt.
4. Score for den tidligste committer med samme sårbarhed.
5. Flere sårbarheder fra samme sårbarhedskilde registreres som kun 1.
6. For den samme link-URL, hvis flere parametre har lignende sårbarheder, vil det samme link være forskelligt i henhold til én sårbarhedskredit
    type, vil belønningen blive givet i henhold til graden af skade.
7. For generelle sårbarheder forårsaget af mobile terminalsystemer, såsom webkit uxss, kodeudførelse osv., gives kun den første
    Belønninger for sårbarhedsrapporterere vil ikke længere blive medregnet for den samme sårbarhedsrapport som andre produkter.

8. Den endelige score for hver sårbarhed bestemmes af en omfattende vurdering af sårbarhedens udnyttelsesmulighed, skadens størrelse og omfanget af påvirkningen. Det er muligt
    Sårbarhedspunkter med lave sårbarhedsniveauer er højere end sårbarheder med høje sårbarhedsniveauer.
9. White hats anmodes om at levere POC/exploit ved rapportering af sårbarheder og levere tilsvarende sårbarhedsanalyser for at fremskynde administratorer
    Behandlingshastigheden kan blive direkte påvirket ved sårbarhedsindsendelser, der ikke leveres af POC'en eller udnyttelsen, eller som ikke analyseres i detaljer
    Belønninger.

Bonusbetalingsproces:
USRC-personalet forhandlede med de hvide hatte, hvornår og hvordan gaverne skulle uddeles.
Konfliktløsning:
Hvis anmelderen har indvendinger mod sårbarhedsvurderingen eller sårbarhedsvurderingen under sårbarhedshåndteringsprocessen, kontakt administratoren rettidigt.
Kommunikation. UCloud Security Emergency Response Center vil have forrang over sårbarhedsrapportørers interesser og vil gøre det, hvis det er nødvendigt
Indfør eksterne myndigheder til fælles afgørelse.








Tidligere:JS opsnapper den sidste. kan bruges til at bedømme IP-segmentområdet
Næste:SQL Injection Book - ASP Injection Sårbarhed Fuld Kontakt

Relaterede indlæg
Ansvarsfraskrivelse:
Al software, programmeringsmaterialer eller artikler udgivet af Code Farmer Network er kun til lærings- og forskningsformål; Ovenstående indhold må ikke bruges til kommercielle eller ulovlige formål, ellers skal brugerne bære alle konsekvenser. Oplysningerne på dette site kommer fra internettet, og ophavsretstvister har intet med dette site at gøre. Du skal slette ovenstående indhold fuldstændigt fra din computer inden for 24 timer efter download. Hvis du kan lide programmet, så understøt venligst ægte software, køb registrering og få bedre ægte tjenester. Hvis der er nogen overtrædelse, bedes du kontakte os via e-mail.
Mail To:help@itsvse.com