Perusperiaatteet
1. UCloud kiinnittää suurta huomiota tuotteidensa ja liiketoimintansa turvallisuuteen, ja on aina sitoutunut varmistamaan käyttäjien turvallisuuden
Odotamme innolla UCloudin verkoston kehittämistä Security Response Centerin kautta tekemällä tiivistä yhteistyötä alan yksilöiden, organisaatioiden ja yritysten kanssa
Turvallisuustaso.
2. UCloud Kiitämme valkohattuhakkereita, jotka auttoivat suojelemaan käyttäjiemme etuja ja parantamaan UCloud Security Centeriä
ja antamalla takaisin.
3. UCloud vastustaa ja tuomitsee kaikki haavoittuvuudet, jotka käyttävät haavoittuvuuksien testausta tekosyynä käyttäjien etujen tuhoamiseen ja vahingoittamiseen
Hakkerointitoimet, mukaan lukien mutta ei rajoittuen haavoittuvuuksien hyödyntämiseen käyttäjätietojen varastamiseksi, liiketoimintajärjestelmien tunkeutumiseksi, siihen liittyvän tiedon muokkaamiseksi ja varastamiseksi
yhtenäiset tiedot, haavoittuvuuksien tai datan haitallinen levittäminen. UCloud ottaa oikeudellisen vastuun kaikista edellä mainituista teoista.
Haavoittuvuuden palaute ja käsittelyprosessi
1. Lähetä haavoittuvuustiedot sähköpostitse, Weibossa tai QQ Groupissa.
2. Yhden arkipäivän kuluessa USRC:n henkilöstö vahvistaa haavoittuvuusraportin vastaanottamisen ja aloittaa ongelman arvioinnin.
3. Kolmen työpäivän kuluessa USRC:n henkilökunta käsittelee asian, antaa johtopäätöksen ja tarkistaa palkinnon. (Tarvittaessa se annetaan.)
Toimittaja viestii ja vahvistaa asian, ja pyytää toimittajaa auttamaan. )
4. Liiketoimintaosasto korjaa haavoittuvuuden ja järjestää päivityksen verkkoon, ja korjausaika riippuu ongelman vakavuudesta ja korjauksen vaikeudesta.
5. Haavoittuvuusraportoijat tarkistavat haavoittuvuuksia.
6. Jaa palkkiot.
Turvallisuushaavoittuvuuksien pisteytyskriteerit
Jokaisella haavoittuvuustasolla suoritamme kattavan tarkastelun, joka perustuu haavoittuvuuden hyödyntämisen tekniseen vaikeuteen ja haavoittuvuuden vaikutuksiin
Huomio, jaettu eri tasoihin ja annettu vastaavat pisteet.
Haavoittuvuuden palvelutason mukaan haavoittuvuusvahingon aste jaetaan neljään tasoon: korkean riskin, keskitason riskin, matalan riskin ja huomiotta jätetty
Käsitellyt haavoittuvuudet ja pisteytyskriteerit ovat seuraavat:
Korkea riski:
Palkinnot: 1000–2000 juanin arvoiset ostoskortit tai samanarvoiset lahjat, mukaan lukien mutta ei rajoittuen:
1. Haavoittuvuus, joka suoraan saa järjestelmäoikeudet (palvelinoikeudet, tietokantaoikeudet). Tämä sisältää, mutta ei rajoitu, etäkomennoihin
Suoritus, koodin suoritus, mielivaltainen tiedoston lataus Webshellin saamiseksi, puskurin ylivuoto, SQL-injektio järjestelmäoikeuksien saamiseksi
Rajoitukset, palvelimen jäsennyshaavoittuvuudet, tiedostojen sisällyttämisen haavoittuvuudet jne.
2. Vakavat logiikkasuunnittelun puutteet. Tähän sisältyy, mutta ei rajoittuen, kirjautuminen millä tahansa tilillä, salasanan vaihtaminen sekä tekstiviestien ja sähköpostien tarkistaminen
Ohitus.
3. Vakava arkaluontoisen tiedon vuoto. Tähän sisältyy, mutta ei rajoittuen, vakava SQL-injektio, mielivaltainen tiedostojen sisällyttäminen jne.
4. Luvaton pääsy. Tähän sisältyy, mutta ei rajoittuen, tunnistautumisen ohittaminen taustalle suoraan pääsyä varten, taustakirjautumisen heikko salasana, heikko SSH-salasana jne
Kirjaston mukaan salasana on heikko jne.
5. Hanki käyttäjien UCloud-käyttäjätiedot tai käyttöoikeudet UChigh-alustan kautta.
Keskitasoinen vaara:
Palkinnot: 500–1000 yuanin arvosta ostoskortteja tai samanarvoisia lahjoja, mukaan lukien mutta ei rajoittuen:
1. Haavoittuvuuksia, jotka vaativat vuorovaikutusta saadakseen käyttäjätunnustiedot. Mukana on muun muassa tallennuspohjainen XSS.
2. Tavalliset logiikkasuunnitteluvirheet. Mukaan lukien, mutta ei rajoittuen, rajaton tekstiviestien ja sähköpostien lähettäminen.
3. Ei-keskittyneet tuotelinjat, vaikeiden SQL-injektion haavoittuvuuksien hyödyntäminen jne.
Matala riski:
Palkinnot: 100–500 yuanin arvoiset ostoskortit tai samanarvoiset lahjat, mukaan lukien mutta ei rajoittuen:
1. Yleinen tietovuodon haavoittuvuus. Tähän sisältyy, mutta ei rajoittuen, polkuvuoto, SVN-tiedoston vuoto, LOG-tiedoston vuoto,
phpinfo jne.
2. Haavoittuvuuksia, joita ei voi hyödyntää tai joita on vaikea hyödyntää, mukaan lukien mutta ei rajoittuen heijastavaan XSS:ään.
Jätä huomiotta:
Tämä taso sisältää:
1. Bugit, jotka eivät liity turvallisuusongelmiin. Mukaan lukien mutta ei rajoittuen tuotteen toiminnallisiin virheisiin, sekaviin sivuihin, tyylien sekoitukseen jne.
2. Haavoittuvuuksia, joita ei voida toistaa, tai muita ongelmia, joita ei voi suoraan heijastaa. Tähän sisältyy, mutta ei rajoittuen, pelkästään käyttäjän spekulatiivisiin kysymyksiin
Kysymys.
Pisteytyskriteerien yleiset periaatteet:
1. Pisteytyskriteerit koskevat vain kaikkia UCloudin tuotteita ja palveluita. Verkkotunnukset sisältävät, mutta eivät rajoitu, *.ucloud.cn, palvelin
Sisältää UCloudin ylläpitämiä palvelimia, ja tuotteet ovat UCloudin julkaisemia mobiilituotteita.
2. Bugipalkkiot rajoittuvat UCloud Security Response Centeriin lähetettyihin haavoittuvuuksiin, eivät muilla alustoilla lähetettyihin
Pisteitä.
3. Internetissä paljastettuja haavoittuvuuksia ei pisteytetä.
4. Pisteitä varhaisimmasta saman haavoittuvuuden tekijästä.
5. Useat haavoittuvuudet samasta haavoittuvuuslähteestä kirjataan vain yhdeksi.
6. Saman linkin URL-osoitteessa, jos useilla parametreilla on samankaltaisia haavoittuvuuksia, sama linkki eroaa yhden haavoittuvuushyvityksen mukaan
Tyypin mukaan palkinto annetaan vahingon asteen mukaan.
7. Yleiskäyttöisten haavoittuvuksien, kuten webkit uxss, koodin suoritus jne., kohdalla annetaan vain ensimmäinen
Haavoittuvuusraportoijien palkkiot eivät enää lasketa samoista haavoittuvuusraporteista kuin muiden tuotteiden osalta.
8. Jokaisen haavoittuvuuden lopullinen pistemäärä määritellään haavoittuvuuden hyödyntämisen kokonaisvaltaisella tarkastelulla, vahingon suuruudella ja vaikutusten laajuudella. Se on mahdollista
Haavoittuvuuspisteet, joilla on matala haavoittuvuustaso, ovat korkeampia kuin korkean haavoittuvuuden pisteet.
9. Valkoisia hattuja pyydetään antamaan POC/Exploit haavoittuvuuksia haavoittuvuuksista raportoidessaan ja tarjoamaan vastaavaa haavoittuvuusanalyysiä ylläpitäjien nopeuttamiseksi
Käsittelynopeuteen voi suoraan vaikuttaa haavoittuvuuksien lähettäminen, joita POC ei toimita tai joita ei ole analysoitu yksityiskohtaisesti
Palkinnot.
Bonusten maksuprosessi:
USRC:n henkilökunta neuvotteli valkohattuisten kanssa siitä, milloin ja miten lahjat jaettaisiin.
Riitojen ratkaisu:
Jos ilmoittajalla on vastaväitteitä haavoittuvuuksien arviointiin tai haavoittuvuuksien arviointiin haavoittuvuuksien käsittelyprosessin aikana, ota yhteyttä ylläpitäjään viipymättä
Viestintä. UCloud Security Emergency Response Center asettaa haavoittuvuusraportoijien edun etusijalle ja tekee niin tarvittaessa
Ota käyttöön ulkopuoliset viranomaiset yhteistä ratkaisua varten.
|
Julkaistu 28.9.2015 0.14.33
|
|
|
