Grundprinzipien
1. UCloud legt großen Wert auf die Sicherheit seiner Produkte und seines Geschäfts und hat sich stets der Sicherheit der Nutzer verpflichtet
Wir freuen uns darauf, das Netzwerk von UCloud durch das Security Response Center durch enge Zusammenarbeit mit Einzelpersonen, Organisationen und Unternehmen der Branche auszubauen
Sicherheitsniveau.
2. UCloud Wir danken den White-Hat-Hackern, die geholfen haben, die Interessen unserer Nutzer zu schützen und das UCloud Security Center zu verbessern
und etwas zurückzugeben.
3. UCloud lehnt alle Schwachstellen ab und verurteilt sie, die Schwachstellentests als Vorwand nutzen, um die Interessen der Nutzer zu zerstören und zu schädigen
Hacking-Aktivitäten, einschließlich, aber nicht beschränkt auf die Ausnutzung von Schwachstellen, um Benutzerinformationen zu stehlen, Geschäftssysteme zu überfallen, verwandte Informationen zu verändern und zu stehlen
einheitliche Daten, böswillige Verbreitung von Schwachstellen oder Daten. UCloud wird die rechtliche Verantwortung für jede der oben genannten Handlungen übernehmen.
Schwachstellen-Feedback und -handhabungsprozess
1. Verletzungsinformationen per E-Mail, Weibo oder QQ-Gruppe einreichen.
2. Innerhalb eines Werktages bestätigt das USRC-Personal den Empfang des Schwachstellenberichts und nimmt nach, um mit der Bewertung des Problems zu beginnen.
3. Innerhalb von drei Arbeitstagen wird das USRC-Personal das Problem angehen, eine Entscheidung treffen und die Auszeichnung prüfen. (Falls nötig, wird es gegeben.)
Der Reporter kommuniziert, bestätigt und bittet den Reporter um Unterstützung. )
4. Die Geschäftsabteilung behebt die Schwachstelle und organisiert das Update online, und die Reparaturzeit hängt vom Ausmaß des Problems und der Reparaturschwierigkeit ab.
5. Schwachstellenmelder überprüfen Schwachstellen.
6. Belohnungen verteilen.
Bewertungskriterien für Sicherheitslücken
Für jede Schwachstelle führen wir eine umfassende Untersuchung durch, die auf der technischen Schwierigkeit der Ausnutzung der Schwachstelle und deren Auswirkungen basiert
Berücksichtigung, unterteilt in verschiedene Stufen und entsprechende Punkte.
Je nach Service-Level der Verwundbarkeit wird das Ausmaß des Verwundbarkeitsschadens in vier Stufen unterteilt: hohes Risiko, mittleres Risiko, geringes Risiko und ignoriert
Die abgedeckten Schwachstellen und die Bewertungskriterien sind wie folgt:
Hoher Risiko:
Belohnungen: Einkaufskarten im Wert von 1000–2000 Yuan oder Geschenke gleichen Wertes, einschließlich, aber nicht beschränkt auf:
1. Eine Schwachstelle, die direkt Systemrechte erhält (Serverrechte, Datenbankrechte). Dies schließt unter anderem entfernte beliebige Befehle ein, ist aber nicht beschränkt
Ausführung, Code-Ausführung, beliebiger Datei-Upload zum Erhalten von Webshell, Buffer Overflow, SQL-Injektion zur Systemrechte
Einschränkungen, Server-Parsing-Schwachstellen, Dateieinschluss-Schwachstellen usw.
2. Schwerwiegende Logikdesignfehler. Dazu gehören unter anderem das Einloggen mit einem beliebigen Konto, das Ändern des Passworts eines Kontos sowie die Überprüfung von SMS und E-Mails
Umgehung.
3. Schwerwiegende Weitergabe sensibler Informationen. Dazu gehört, aber nicht beschränkt auf, ernsthafte SQL-Injektionen, beliebige Dateieinbindung usw.
4. Unbefugter Zugriff. Dazu gehören unter anderem das Umgehen der Authentifizierung, um direkt auf den Hintergrund zuzugreifen, ein schwaches Passwort für den Hintergrund-Login, ein schwaches SSH-Passwort usw
Laut der Bibliothek ist das Passwort schwach usw.
5. Erhalten Sie Benutzerdaten oder Berechtigungen des Nutzers UCloud über die UCloud-Plattform.
Mittlere Gefahr:
Belohnungen: Einkaufskarten oder Geschenke im Wert von 500–1000 Yuan im gleichen Wert, einschließlich, aber nicht beschränkt auf:
1. Schwachstellen, die eine Interaktion erfordern, um Benutzeridentitätsinformationen zu erhalten. Dazu gehören unter anderem speicherbasierte XSS.
2. Gewöhnliche Logikkonstruktionsfehler. Einschließlich, aber nicht beschränkt auf unbegrenzten Versand von SMS und E-Mails.
3. Nicht fokussierte Produktlinien, Ausnutzung schwieriger SQL-Injektionsschwachstellen usw.
Geringes Risiko:
Belohnungen: Einkaufskarten im Wert von 100–500 Yuan oder Geschenke gleichen Wertes, einschließlich, aber nicht beschränkt auf:
1. Allgemeine Verwundbarkeit von Informationslecks. Dies umfasst, ist aber nicht beschränkt auf, Pfadleck, SVN-Dateileck, LOG-Dateileck,
phpinfo usw.
2. Schwachstellen, die nicht ausgenutzt werden können oder schwer auszunutzen sind, einschließlich, aber nicht beschränkt auf, reflektierendes XSS.
Ignorieren:
Dieses Level umfasst:
1. Fehler, die keine Sicherheitsprobleme beinhalten. Einschließlich, aber nicht beschränkt auf, Produktfunktionsfehler, verzerrte Seiten, Stilmischung usw.
2. Schwachstellen, die nicht reproduziert werden können, oder andere Probleme, die nicht direkt widerspiegelt werden können. Dies schließt unter anderem Fragen ein, die rein nutzerspekulativ sind
Frage.
Allgemeine Grundsätze der Bewertungskriterien:
1. Die Bewertungskriterien gelten nur für alle Produkte und Dienstleistungen von UCloud. Domainnamen umfassen, sind aber nicht beschränkt auf, *.ucloud.cn Server
Beinhaltet Server, die von UCloud betrieben werden, und die Produkte sind mobile Produkte, die von UCloud veröffentlicht wurden.
2. Bug-Belohnungen sind auf Schwachstellen beschränkt, die im UCloud Security Response Center eingereicht werden, nicht auf solche, die auf anderen Plattformen gemeldet werden
Punkte.
3. Das Einreichen von Schwachstellen, die im Internet offengelegt wurden, wird nicht bewertet.
4. Bewertung für den frühesten Committer derselben Schwachstelle.
5. Mehrere Schwachstellen aus derselben Schwachstellenquelle werden als nur 1 verzeichnet.
6. Für dieselbe Link-URL gilt: Wenn mehrere Parameter ähnliche Schwachstellen aufweisen, ist derselbe Link je nach einer Schwachstelle-Credit unterschiedlich
Typ wird die Belohnung entsprechend dem Ausmaß des Schadens vergeben.
7. Für allgemeine Schwachstellen, die durch mobile Endgerätesysteme verursacht werden, wie Webkit-UXSS, Codeausführung usw., wird nur die erste angegeben
Belohnungen für Schwachstellenmelder werden nicht mehr für denselben Schwachstellenbericht anderer Produkte angerechnet.
8. Die Endwertung jeder Schwachstelle wird durch die umfassende Berücksichtigung der Ausnutzbarkeit der Schwachstelle, des Ausmaßes des Schadens und des Ausmaßes der Auswirkungen bestimmt. Es ist möglich
Schwachstellen mit niedrigen Verwundbarkeitsstufen sind höher als Verwundbarkeiten mit hoher Verwundbarkeit.
9. White Hats werden gebeten, bei der Meldung von Schwachstellen POC/Exploit bereitzustellen und entsprechende Schwachstellenanalysen durchzuführen, um Administratoren zu beschleunigen
Die Verarbeitungsgeschwindigkeit kann direkt beeinträchtigt werden, wenn Schwachstelleneinreichungen nicht vom POC oder Exploit bereitgestellt oder nicht detailliert analysiert werden
Belohnungen.
Bonuszahlungsprozess:
Das USRC-Personal verhandelte mit den White Hats, wann und wie die Geschenke verteilt werden sollten.
Streitbeilegung:
Wenn der Melder während des Schwachstellenhandhabungsprozesses Einwände gegen die Schwachstellenbewertung oder Bewertung hat, kontaktieren Sie den Administrator zeitnah
Kommunikation. Das UCloud Security Emergency Response Center wird Vorrang vor den Interessen der Schwachstellenmelder haben und dies bei Bedarf tun.
Externe Behörden einführen, um gemeinsam zu entscheiden.
|
Veröffentlicht am 28.09.2015 00:14:33
|
|
|
