Βασικές αρχές
1. Η UCloud αποδίδει μεγάλη σημασία στην ασφάλεια των προϊόντων και των επιχειρήσεών της και πάντα δεσμευόταν να διασφαλίζει την ασφάλεια των χρηστών
Ανυπομονούμε να ενισχύσουμε το δίκτυο της UCloud μέσω του Κέντρου Απόκρισης Ασφαλείας συνεργαζόμενοι στενά με άτομα, οργανισμούς και εταιρείες του κλάδου
Επίπεδο ασφαλείας.
2. UCloud Ευχαριστούμε τους χάκερ λευκού καπέλου που βοήθησαν στην προστασία των συμφερόντων των χρηστών μας και βοήθησαν στη βελτίωση του Κέντρου Ασφαλείας UCloud
και ανταπόδοση.
3. Το UCloud αντιτίθεται και καταδικάζει όλα τα τρωτά σημεία που χρησιμοποιούν τις δοκιμές ευπάθειας ως δικαιολογία για να καταστρέψουν και να βλάψουν τα συμφέροντα των χρηστών
Δραστηριότητες εισβολής, συμπεριλαμβανομένης, ενδεικτικά, της εκμετάλλευσης τρωτών σημείων για την κλοπή πληροφοριών χρηστών, την εισβολή σε επιχειρηματικά συστήματα, την τροποποίηση και την κλοπή σχετικών πληροφοριών
δεδομένων, κακόβουλη διάδοση τρωτών σημείων ή δεδομένων. Η UCloud θα επιδιώξει τη νομική ευθύνη για οποιαδήποτε από τις παραπάνω πράξεις.
Διαδικασία ανατροφοδότησης και χειρισμού ευπάθειας
1. Υποβάλετε πληροφορίες ευπάθειας μέσω email, Weibo ή ομάδας QQ.
2. Εντός μίας εργάσιμης ημέρας, το προσωπικό του USRC θα επιβεβαιώσει την παραλαβή της αναφοράς ευπάθειας και θα παρακολουθήσει για να ξεκινήσει η αξιολόγηση του ζητήματος.
3. Εντός τριών εργάσιμων ημερών, το προσωπικό του USRC θα αντιμετωπίσει το ζήτημα, θα δώσει ένα συμπέρασμα και θα ελέγξει το βραβείο. (Αν χρειαστεί, θα δοθεί.)
Ο δημοσιογράφος επικοινωνεί και επιβεβαιώνει και ζητά από τον δημοσιογράφο να βοηθήσει. )
4. Το τμήμα επιχειρήσεων διορθώνει την ευπάθεια και κανονίζει την ενημέρωση να συνδεθεί στο διαδίκτυο και ο χρόνος επισκευής εξαρτάται από τη σοβαρότητα του προβλήματος και τη δυσκολία επισκευής.
5. Οι δημοσιογράφοι ευπάθειας εξετάζουν τα τρωτά σημεία.
6. Διανείμετε ανταμοιβές.
Κριτήρια βαθμολόγησης ευπάθειας ασφαλείας
Για κάθε επίπεδο ευπάθειας, θα πραγματοποιήσουμε μια ολοκληρωμένη εξέταση με βάση την τεχνική δυσκολία εκμετάλλευσης της ευπάθειας και τον αντίκτυπο της ευπάθειας
Εξέταση, χωρισμένη σε διαφορετικά επίπεδα και με τους αντίστοιχους βαθμούς.
Ανάλογα με το επίπεδο υπηρεσίας ευπάθειας, ο βαθμός βλάβης ευπάθειας χωρίζεται σε τέσσερα επίπεδα: υψηλού κινδύνου, μεσαίου κινδύνου, χαμηλού κινδύνου και αγνοείται
Τα τρωτά σημεία που καλύπτονται και τα κριτήρια βαθμολόγησης είναι τα εξής:
Υψηλός κίνδυνος:
Ανταμοιβές: Κάρτες αγορών αξίας 1000-2000 γιουάν ή δώρα ίδιας αξίας, συμπεριλαμβανομένων ενδεικτικά:
1. Μια ευπάθεια που αποκτά άμεσα δικαιώματα συστήματος (δικαιώματα διακομιστή, δικαιώματα βάσης δεδομένων). Αυτό περιλαμβάνει, μεταξύ άλλων, απομακρυσμένες αυθαίρετες εντολές
Εκτέλεση, εκτέλεση κώδικα, αυθαίρετη μεταφόρτωση αρχείων για λήψη Webshell, υπερχείλιση buffer, έγχυση SQL για λήψη δικαιωμάτων συστήματος
Περιορισμοί, ευπάθειες ανάλυσης διακομιστή, ευπάθειες συμπερίληψης αρχείων κ.λπ.
2. Σοβαρά ελαττώματα λογικού σχεδιασμού. Αυτό περιλαμβάνει, ενδεικτικά, τη σύνδεση με οποιονδήποτε λογαριασμό, την αλλαγή του κωδικού πρόσβασης οποιουδήποτε λογαριασμού και την επαλήθευση SMS και email
Παράκαμψη.
3. Σοβαρή διαρροή ευαίσθητων πληροφοριών. Αυτό περιλαμβάνει, αλλά δεν περιορίζεται σε, σοβαρή ένεση SQL, αυθαίρετη συμπερίληψη αρχείων κ.λπ.
4. Μη εξουσιοδοτημένη πρόσβαση. Αυτό περιλαμβάνει, ενδεικτικά, την παράκαμψη του ελέγχου ταυτότητας για άμεση πρόσβαση στο παρασκήνιο, τον αδύναμο κωδικό πρόσβασης σύνδεσης στο παρασκήνιο, τον αδύναμο κωδικό πρόσβασης SSH κ.λπ
Σύμφωνα με τη βιβλιοθήκη, ο κωδικός πρόσβασης είναι αδύναμος κ.λπ.
5. Λάβετε δεδομένα ή δικαιώματα χρήστη UCloud μέσω της πλατφόρμας UCloud.
Μέτριος κίνδυνος:
Ανταμοιβές: Κάρτες αγορών ή δώρα αξίας 500-1000 γιουάν ίδιας αξίας, συμπεριλαμβανομένων ενδεικτικά:
1. Τρωτά σημεία που απαιτούν αλληλεπίδραση για τη λήψη πληροφοριών ταυτότητας χρήστη. Συμπεριλαμβανομένου του XSS που βασίζεται σε αποθήκευση, μεταξύ άλλων.
2. Συνηθισμένα ελαττώματα λογικού σχεδιασμού. Συμπεριλαμβανομένης, ενδεικτικά, της απεριόριστης αποστολής SMS και email.
3. Μη εστιασμένες σειρές προϊόντων, εκμετάλλευση δύσκολων τρωτών σημείων SQL injection κ.λπ.
Χαμηλός κίνδυνος:
Ανταμοιβές: Κάρτες αγορών αξίας 100-500 γιουάν ή δώρα ίδιας αξίας, συμπεριλαμβανομένων ενδεικτικά:
1. Ευπάθεια γενικής διαρροής πληροφοριών. Αυτό περιλαμβάνει, ενδεικτικά, διαρροή διαδρομής, διαρροή αρχείου SVN, διαρροή αρχείου LOG,
phpinfo, κ.λπ.
2. Τρωτά σημεία που δεν μπορούν να αξιοποιηθούν ή είναι δύσκολο να αξιοποιηθούν, συμπεριλαμβανομένων, ενδεικτικά, των ανακλαστικών XSS.
Παράβλεψη:
Αυτό το επίπεδο περιλαμβάνει:
1. Σφάλματα που δεν αφορούν ζητήματα ασφάλειας. Συμπεριλαμβανομένων, ενδεικτικά, ελαττωμάτων λειτουργίας προϊόντος, αλλοιωμένων σελίδων, μίξης στυλ κ.λπ.
2. Τρωτά σημεία που δεν μπορούν να αναπαραχθούν ή άλλα προβλήματα που δεν μπορούν να αντικατοπτριστούν άμεσα. Αυτό περιλαμβάνει, αλλά δεν περιορίζεται σε ερωτήσεις που είναι καθαρά κερδοσκοπικές για τον χρήστη
ερώτηση.
Γενικές αρχές κριτηρίων βαθμολόγησης:
1. Τα κριτήρια βαθμολόγησης ισχύουν μόνο για όλα τα προϊόντα και τις υπηρεσίες της UCloud. Τα ονόματα τομέα περιλαμβάνουν, αλλά δεν περιορίζονται σε, *.ucloud.cn, διακομιστή
Περιλαμβάνει διακομιστές που λειτουργούν από την UCloud και τα προϊόντα είναι προϊόντα για κινητά που κυκλοφορούν από την UCloud.
2. Οι ανταμοιβές σφαλμάτων περιορίζονται σε ευπάθειες που υποβάλλονται στο UCloud Security Response Center και όχι σε αυτές που υποβάλλονται σε άλλες πλατφόρμες
Πόντοι.
3. Η υποβολή τρωτών σημείων που έχουν αποκαλυφθεί στο Διαδίκτυο δεν θα βαθμολογηθεί.
4. Βαθμολογήστε για τον πρώτο διαπράττοντα της ίδιας ευπάθειας.
5. Πολλαπλές ευπάθειες από την ίδια πηγή ευπάθειας καταγράφονται μόνο ως 1.
6. Για το ίδιο URL συνδέσμου, εάν πολλές παράμετροι έχουν παρόμοια τρωτά σημεία, ο ίδιος σύνδεσμος θα είναι διαφορετικός σύμφωνα με μία πίστωση ευπάθειας
τύπος, η ανταμοιβή θα δοθεί ανάλογα με τον βαθμό βλάβης.
7. Για ευπάθειες γενικής χρήσης που προκαλούνται από τερματικά συστήματα κινητής τηλεφωνίας, όπως webkit uxss, εκτέλεση κώδικα κ.λπ., δίνεται μόνο το πρώτο
Οι ανταμοιβές των αναφορών ευπάθειας δεν θα υπολογίζονται πλέον για την ίδια αναφορά ευπάθειας άλλων προϊόντων.
8. Η τελική βαθμολογία κάθε τρωτού σημείου καθορίζεται από τη συνολική εξέταση της δυνατότητας εκμετάλλευσης του τρωτού σημείου, του μεγέθους της βλάβης και του εύρους των επιπτώσεων. Είναι δυνατό
Τα σημεία ευπάθειας με χαμηλά επίπεδα ευπάθειας είναι υψηλότερα από τα τρωτά σημεία με υψηλά επίπεδα ευπάθειας.
9. Ζητείται από τα λευκά καπέλα να παρέχουν POC/exploit κατά την αναφορά τρωτών σημείων και να παρέχουν αντίστοιχη ανάλυση ευπάθειας για να επιταχύνουν τους διαχειριστές
Η ταχύτητα επεξεργασίας μπορεί να επηρεαστεί άμεσα για υποβολές ευπάθειας που δεν παρέχονται από το POC ή εκμεταλλεύονται ή δεν αναλύονται λεπτομερώς
Ανταμοιβές.
Διαδικασία πληρωμής μπόνους:
Το προσωπικό του USRC διαπραγματεύτηκε με τα λευκά καπέλα πότε και πώς θα διανεμηθούν τα δώρα.
Επίλυση διαφορών:
Εάν ο αναφέρων έχει αντιρρήσεις σχετικά με την αξιολόγηση ευπάθειας ή τη βαθμολόγηση ευπάθειας κατά τη διαδικασία χειρισμού ευπάθειας, επικοινωνήστε εγκαίρως με τον διαχειριστή
Επικοινωνία. Το Κέντρο Αντιμετώπισης Έκτακτης Ανάγκης Ασφαλείας UCloud θα έχει προτεραιότητα έναντι των συμφερόντων των δημοσιογράφων ευπάθειας και θα το κάνει εάν χρειαστεί
Εισαγωγή εξωτερικών αρχών για από κοινού εκδίκαση.
|
Δημοσιεύτηκε στις 28/9/2015 12:14:33 π.μ.
|
|
|
