Põhiprintsiibid
1. UCloud peab oma toodete ja äri turvalisust väga oluliseks ning on alati pühendunud kasutajate ohutuse tagamisele
Ootame UCloudi võrgustiku täiustamist Security Response Centeri kaudu, tehes tihedat koostööd üksikisikute, organisatsioonide ja ettevõtetega selles valdkonnas
Turvalisuse tase.
2. UCloud Täname valge mütsi häkkereid, kes aitasid kaitsta meie kasutajate huve ja parandada UCloudi turvakeskust
ja tagasi andmine.
3. UCloud on vastu ja mõistab hukka kõik haavatavused, mis kasutavad haavatavuse testimist ettekäändena kasutajate huvide hävitamiseks ja kahjustamiseks
Häkkimistegevused, sealhulgas, kuid mitte ainult, haavatavuste ärakasutamine kasutajate info varastamiseks, ärisüsteemide sissetungimiseks, seotud teabe muutmiseks ja varastamiseks
Ühtsed andmed, pahatahtlik haavatavuste või andmete levitamine. UCloud võtab kõigi ülaltoodud tegude eest juriidilise vastutuse.
Haavatavuse tagasiside ja käsitlemise protsess
1. Esita haavatavuse info e-posti, Weibo või QQ grupi kaudu.
2. Ühe tööpäeva jooksul kinnitavad USRC töötajad haavatavuse aruande kättesaamist ja alustavad probleemi hindamist.
3. Kolme tööpäeva jooksul lahendavad USRC töötajad probleemi, annavad järelduse ja kontrollivad auhinda. (Vajadusel antakse see välja.)
Reporter suhtleb ja kinnitab ning palub reporteril aidata. )
4. Äriosakond parandab haavatavuse ja korraldab uuenduse veebipõhise kasutuse ning remondiaeg sõltub probleemi raskusastmest ja parandamise raskusastmest.
5. Haavatavuse teatajad vaatavad haavatavusi üle.
6. Jaga preemiaid.
Turvaaukude skoorimise kriteeriumid
Iga haavatavuse taseme puhul viime läbi põhjaliku uuringu, mis põhineb haavatavuse ärakasutamise tehnilisel raskusastmel ja haavatavuse mõjul
Kaalumine jagatud erinevateks tasemeteks ja antud vastavad punktid.
Haavatavuse teenindustaseme järgi jaguneb haavatavuse kahju aste neljaks tasemeks: kõrge riskiga, keskmisega riskiga, madala riskiga ja ignoreeritud
Kaetud haavatavused ja hindamiskriteeriumid on järgmised:
Kõrge risk:
Auhinnad: Ostukaardid väärtusega 1000–2000 jüaani või sama väärtusega kingitused, sealhulgas, kuid mitte ainult:
1. Haavatavus, mis otseselt annab süsteemiõigused (serveri õigused, andmebaasi õigused). See hõlmab, kuid ei piirdu, kaugjuhtimisega suvalisi käske
Täitmine, koodi täitmine, suvaline failide üleslaadimine Webshelli saamiseks, puhvri ületäitmine, SQL-i süstimine süsteemiõiguste saamiseks
Piirangud, serveri parsimise haavatavused, failide lisamise haavatavused jne.
2. Tõsised loogikadisaini vead. See hõlmab, kuid ei piirdu ainult, sisselogimisega ükskõik millise kontoga, parooli muutmise ning SMS-i ja e-kirja kontrollimisega
Möödasõit.
3. Tõsine tundliku info lekkimine. See hõlmab, kuid ei piirdu ainult, tõsist SQL-i süstimist, suvalist failide lisamist jne.
4. Volitamata ligipääs. See hõlmab, kuid ei piirdu ainult, autentimise möödahiilimisega, et otse taustale ligi pääseda, tausta sisselogimise nõrk parool, nõrk SSH parool jne
Raamatukogu andmetel on parool nõrk jne.
5. Hankige kasutajate UCloudi kasutajaandmeid või õigusi UCloudi platvormi kaudu.
Keskmine oht:
Auhinnad: 500–1000 jüaani väärtuses ostukaarte või sama väärtusega kingitusi, sealhulgas, kuid mitte ainult:
1. Haavatavused, mis nõuavad kasutaja identiteediteabe saamiseks interaktsiooni. Sealhulgas salvestuspõhine XSS, teiste seas.
2. Tavalised loogikadisaini defektid. Sealhulgas, kuid mitte ainult, piiramatu SMS-i ja e-kirjade saatmine.
3. Mittefokusseeritud tooteliinid, keeruliste SQL-i süstimise haavatavuste ärakasutamine jne.
Madal risk:
Auhinnad: Ostukaardid väärtusega 100–500 jüaani või sama väärtusega kingitused, sealhulgas, kuid mitte ainult:
1. Üldine info lekkimise haavatavus. See hõlmab, kuid ei piirdu ainult, tee lekkimisega, SVN-faili lekkimisega, LOG-faili lekkimisega,
phpinfo jne.
2. Haavatavused, mida ei saa ära kasutada või mida on raske ära kasutada, sealhulgas, kuid mitte ainult, peegeldav XSS.
Ignoreeri:
See tase sisaldab:
1. Vead, mis ei hõlma turvaprobleeme. Sealhulgas, kuid mitte ainult, tootefunktsiooni defektid, segased lehed, stiilide segamine jne.
2. Haavatavused, mida ei saa korrata, või muud probleemid, mida ei saa otseselt kajastada. See hõlmab, kuid ei piirdu ainult, küsimustega, mis on puhtalt kasutaja-spekulatiivsed
Küsimus.
Hindamiskriteeriumide üldpõhimõtted:
1. Hindamiskriteeriumid kehtivad ainult kõigile UCloudi toodetele ja teenustele. Domeeninimede hulka kuuluvad, kuid mitte ainult, *.ucloud.cn, server
Sisaldab servereid, mida haldab UCloud, ning tooted on UCloudi poolt välja antud mobiilsed tooted.
2. Vigade preemiad on piiratud UCloud Security Response Centeris esitatud haavatavustega, mitte teistel platvormidel esitatud haavatavustega.
Punktid.
3. Internetis avalikustatud haavatavuste esitamist ei hinnata.
4. Skoor sama haavatavuse varaseima committeri eest.
5. Mitu haavatavust samast haavatavuse allikast registreeritakse ainult 1-na.
6. Sama lingi URL-i puhul, kui mitmel parameetril on sarnased haavatavused, on sama link erinev ühe haavatavuse krediidi alusel
Tüübi korral antakse tasu vastavalt kahju astmele.
7. Üldotstarbeliste haavatavuste puhul, mida põhjustavad mobiilsed terminalisüsteemid, nagu webkit uxss, koodi täitmine jne, antakse ainult esimene
Haavatavuse teataja preemiaid ei arvestata enam teiste toodete sama haavatavuse raporti eest.
8. Iga haavatavuse lõplik skoor määratakse haavatavuse ärakasutatavuse, kahju suuruse ja mõju ulatuse põhjaliku kaalumise põhjal. See on võimalik
Madala haavatavuse tasemega haavatavuspunktid on kõrgemad kui kõrge haavatavusega haavatavused.
9. Valged mütsid nõutakse haavatavuste teatamisel POC/ekspluateerimist ning vastavat haavatavuste analüüsi, et kiirendada administraatorit
Töötlemiskiirust võib otseselt mõjutada haavatavuste esitamine, mida POC ei paku, ekspluateeri või mida ei analüüsita üksikasjalikult
Preemiad.
Boonuse maksmise protsess:
USRC töötajad pidasid valgete mütside omanikega läbirääkimisi, millal ja kuidas kingitused jagatakse.
Vaidluste lahendamine:
Kui teatajal on haavatavuse hindamise või haavatavuste hindamise vastu vastuväiteid haavatavuste käsitlemise protsessi käigus, võtke administraatoriga kiiresti ühendust
Kommunikatsioon. UCloud Security Emergency Response Center on haavatavuste teatajate huvidest tähtsam ning vajadusel teeb seda
Kaasata välised autoriteedid ühiselt otsustama.
|
Postitatud 28.09.2015 00:14:33
|
|
|
