Principios básicos
1. UCloud otorga gran importancia a la seguridad de sus productos y negocios, y siempre ha estado comprometida con garantizar la seguridad de los usuarios
Esperamos mejorar la red de UCloud a través del Security Response Center trabajando estrechamente con individuos, organizaciones y empresas del sector
Nivel de seguridad.
2. UCloud Agradecemos a los hackers de sombrero blanco que ayudaron a proteger los intereses de nuestros usuarios y a mejorar el Centro de Seguridad de UCloud
y devolver a la comunidad.
3. UCloud se opone y condena a todas las vulnerabilidades que utilicen las pruebas de vulnerabilidades como excusa para destruir y dañar los intereses de los usuarios
Actividades de hacking, incluyendo pero no limitándose a, explotar vulnerabilidades para robar información de usuarios, invadir sistemas empresariales, modificar y robar información relacionada
datos unificados, difusión maliciosa de vulnerabilidades o datos. UCloud asumirá la responsabilidad legal por cualquiera de los actos mencionados.
Retroalimentación de vulnerabilidades y proceso de manejo
1. Enviar información sobre vulnerabilidades por correo electrónico, Weibo o grupo QQ.
2. En un día laborable, el personal de USRC reconocerá la recepción del informe de vulnerabilidad y hará un seguimiento para comenzar a evaluar el problema.
3. En un plazo de tres días laborables, el personal de USRC abordará el asunto, dará una conclusión y revisará la adjudicación. (Si es necesario, se entregará.)
El reportero comunica y confirma, y pide ayuda al reportero. )
4. El departamento de negocio corrige la vulnerabilidad y organiza la actualización para que se implemente, y el tiempo de reparación depende de la gravedad del problema y la dificultad de la reparación.
5. Los reporteros de vulnerabilidades revisan vulnerabilidades.
6. Distribuir recompensas.
Criterios de puntuación de vulnerabilidades de seguridad
Para cada nivel de vulnerabilidad, realizaremos un examen exhaustivo basado en la dificultad técnica de explotar la vulnerabilidad y el impacto de la misma
Consideración, dividida en diferentes niveles y con puntos correspondientes.
Según el nivel de vulnerabilidad del servicio, el grado de daño por vulnerabilidad se divide en cuatro niveles: alto riesgo, riesgo medio, bajo riesgo e ignorado
Las vulnerabilidades cubiertas y los criterios de puntuación son los siguientes:
Alto riesgo:
Recompensas: Tarjetas de compra valoradas en 1000-2000 yuanes o regalos del mismo valor, incluyendo pero no limitado a:
1. Una vulnerabilidad que obtiene directamente privilegios del sistema (privilegios de servidor, privilegios de base de datos). Esto incluye, pero no se limita a, comandos arbitrarios remotos
Ejecución, ejecución de código, subida arbitraria de archivos para obtener Webshell, desbordamiento de búfer, inyección SQL para obtener derechos de sistema
Limitaciones, vulnerabilidades en el análisis de servidores, vulnerabilidades en inclusión de archivos, etc.
2. Graves fallos de diseño lógico. Esto incluye, pero no se limita a, iniciar sesión con cualquier cuenta, cambiar la contraseña de cualquier cuenta y verificar SMS y correo electrónico
Bypass.
3. Filtración grave de información sensible. Esto incluye, pero no se limita a, inyección seria de SQL, inclusión arbitraria de archivos, etc.
4. Acceso no autorizado. Esto incluye, pero no se limita a, saltarse la autenticación para acceder directamente a segundo plano, contraseña débil de inicio de sesión en segundo plano, contraseña débil SSH, etc
Según la biblioteca, la contraseña es débil, etc.
5. Obtener datos o permisos de usuario UCloud a través de la plataforma UCloud.
Peligro medio:
Recompensas: tarjetas de compra o regalos por valor de 500-1000 yuanes, incluyendo pero no limitado a:
1. Vulnerabilidades que requieren interacción para obtener información de identidad del usuario. Incluyendo XSS basado en almacenamiento, entre otros.
2. Defectos ordinarios de diseño lógico. Incluyendo, pero no limitándose a, envío ilimitado de SMS y correos electrónicos.
3. Líneas de producto no enfocadas, explotación de vulnerabilidades difíciles de inyección SQL, etc.
Bajo riesgo:
Recompensas: Tarjetas de compra valoradas entre 100 y 500 yuanes o regalos del mismo valor, incluyendo pero no limitado a:
1. Vulnerabilidad general a filtraciones de información. Esto incluye, pero no se limita a, fuga de rutas, fuga de archivos SVN, fuga de archivos LOG,
phpinfo, etc.
2. Vulnerabilidades que no pueden ser explotadas o difíciles de explotar, incluyendo, pero no limitándose a, XSS reflexivo.
Ignorar:
Este nivel incluye:
1. Errores que no implican problemas de seguridad. Incluyendo, pero no limitándose a, defectos de funcionalidad del producto, páginas distorsionadas, mezcla de estilos, etc.
2. Vulnerabilidades que no pueden reproducirse u otros problemas que no pueden reflejarse directamente. Esto incluye, pero no se limita a, preguntas que son puramente especulativas por parte del usuario
Pregunta.
Principios generales de los criterios de puntuación:
1. Los criterios de puntuación se aplican únicamente a todos los productos y servicios de UCloud. Los nombres de dominio incluyen, pero no se limitan a, *.ucloud.cn, servidor
Incluye servidores operados por UCloud, y los productos son productos móviles lanzados por UCloud.
2. Las recompensas por errores se limitan a vulnerabilidades presentadas en el Centro de Respuesta de Seguridad de UCloud, no a las presentadas en otras plataformas
Puntos.
3. No se puntuará la presentación de vulnerabilidades que hayan sido reveladas en Internet.
4. Puntuación para el cometido más temprano de la misma vulnerabilidad.
5. Múltiples vulnerabilidades de la misma fuente de vulnerabilidad se registran como solo 1.
6. Para la misma URL de enlace, si varios parámetros tienen vulnerabilidades similares, el mismo enlace será diferente según un crédito de vulnerabilidad
tipo, la recompensa se otorgará según el grado de daño.
7. Para vulnerabilidades de propósito general causadas por sistemas móviles de terminal, como webkit uxss, ejecución de código, etc., solo se indica la primera
Las recompensas de los reportadores de vulnerabilidades ya no se contarán para el mismo informe de vulnerabilidades de otros productos.
8. La puntuación final de cada vulnerabilidad se determina mediante la consideración exhaustiva de la explotabilidad de la vulnerabilidad, el tamaño del daño y el alcance del impacto. Es posible
Los puntos de vulnerabilidad con niveles bajos son más altos que los vulnerabilidades con niveles altos.
9. Se solicita a los white hats que proporcionen POC/exploit al reportar vulnerabilidades y que proporcionen el correspondiente análisis de vulnerabilidades para agilizar a los administradores
La velocidad de procesamiento puede verse directamente afectada en las presentaciones de vulnerabilidades que no son proporcionadas por la POC o el exploit o que no se analizan en detalle
Recompensas.
Proceso de pago de bonificación:
El personal de USRC negoció con los white hats cuándo y cómo se distribuirían los regalos.
Resolución de Disputas:
Si el denunciante tiene alguna objeción a la evaluación o puntuación de vulnerabilidades durante el proceso de gestione, contacte con el administrador de manera oportuna
Comunicación. El Centro de Respuesta a Emergencias de Seguridad de UCloud tendrá prioridad sobre los intereses de los reporteros de vulnerabilidades y lo hará si es necesario
Introducir autoridades externas para que jueguen conjuntamente.
|
Publicado en 28/9/2015 0:14:33
|
|
|
