Principes de base
1. UCloud accorde une grande importance à la sécurité de ses produits et de son activité, et s’est toujours engagée à garantir la sécurité des utilisateurs
Nous sommes impatients d’améliorer le réseau de UCloud via le Security Response Center en travaillant en étroite collaboration avec des particuliers, des organisations et des entreprises du secteur
Niveau de sécurité.
2. UCloud Nous remercions les hackers white hat qui ont aidé à protéger les intérêts de nos utilisateurs et à améliorer le Centre de Sécurité UCloud
et de rendre la pareille.
3. UCloud s’oppose et condamne toutes les vulnérabilités qui utilisent les tests de vulnérabilités comme prétexte pour détruire et nuire aux intérêts des utilisateurs
Activités de piratage, y compris mais sans s’y limiter l’exploitation de vulnérabilités pour voler des informations utilisateurs, envahir des systèmes métier, modifier et voler des informations connexes
données unifiées, diffusion malveillante de vulnérabilités ou de données. UCloud poursuivra la responsabilité légale pour l’un ou l’autre acte ci-dessus.
Processus de retour et de gestion des vulnérabilités
1. Soumettre les informations sur les vulnérabilités par email, Weibo ou QQ Group.
2. Dans un délai d’un jour ouvré, le personnel de l’USRC accusera réception du rapport de vulnérabilité et fera un suivi pour commencer à évaluer le problème.
3. Dans les trois jours ouvrables, le personnel de l’USRC traitera la question, donnera une conclusion et vérifiera la décision. (Si nécessaire, il sera donné.)
Le journaliste communique, confirme, et demande son aide. )
4. Le service commercial corrige la vulnérabilité et organise la mise à jour en ligne, et le délai de réparation dépend de la gravité du problème et de la difficulté de la réparation.
5. Les rapporteurs de vulnérabilités examinent les vulnérabilités.
6. Distribuer les récompenses.
Critères de notation des vulnérabilités de sécurité
Pour chaque niveau de vulnérabilité, nous réaliserons un examen complet basé sur la difficulté technique d’exploitation de la vulnérabilité et son impact
Considération, divisée en différents niveaux, et attribuée aux points correspondants.
Selon le niveau de vulnérabilité du service, le degré de préjudice de vulnérabilité est divisé en quatre niveaux : à haut risque, à risque moyen, faible risque et ignoré
Les vulnérabilités couvertes et les critères de notation sont les suivants :
Haut risque :
Récompenses : Cartes shopping d’une valeur de 1000 à 2000 yuans ou cadeaux de même valeur, incluant mais sans s’y limiter :
1. Une vulnérabilité qui obtient directement des privilèges système (privilèges serveur, privilèges de base de données). Cela inclut, sans s’y limiter, les commandes arbitraires à distance
Exécution, exécution de code, téléchargement arbitraire de fichiers pour obtenir Webshell, débordement de tampons, injection SQL pour obtenir les droits système
Limitations, vulnérabilités d’analyse des serveurs, vulnérabilités d’inclusion de fichiers, etc.
2. Graves défauts de conception logique. Cela inclut, sans s’y limiter, se connecter avec n’importe quel compte, changer le mot de passe de n’importe quel compte, et vérifier les SMS et les e-mails
Contournez.
3. Fuite grave d’informations sensibles. Cela inclut, sans s’y limiter, l’injection SQL sérieuse, l’inclusion arbitraire de fichiers, etc.
4. Accès non autorisé. Cela inclut, sans s’y limiter, contourner l’authentification pour accéder directement à l’arrière-plan, la connexion en arrière-plan avec un mot de passe faible, un mot de passe SSH faible, etc
Selon la bibliothèque, le mot de passe est faible, etc.
5. Obtenir les données ou permissions utilisateur UCloud via la plateforme UCloud.
Danger moyen :
Récompenses : cartes shopping ou cadeaux de même valeur pour 500 à 1000 yuans, incluant mais sans s’y limiter :
1. Vulnérabilités nécessitant une interaction pour obtenir des informations d’identité utilisateur. Y compris le XSS basé sur le stockage, entre autres.
2. Défauts de conception logique ordinaires. Y compris, mais sans s’y limiter, l’envoi illimité de SMS et d’emails.
3. Lignes de produits non ciblées, exploitation de vulnérabilités difficiles d’injection SQL, etc.
Faible risque :
Récompenses : Cartes shopping d’une valeur de 100 à 500 yuans ou cadeaux de même valeur, incluant mais sans s’y limiter :
1. Vulnérabilité générale à la fuite d’information. Cela inclut, sans s’y limiter, la fuite de chemin, la fuite de fichiers SVN, la fuite de fichiers LOG,
phpinfo, etc.
2. Vulnérabilités impossibles à exploiter ou difficiles à exploiter, y compris, mais sans s’y limiter, le XSS réfléchissant.
Ignorez :
Ce niveau comprend :
1. Des bugs qui ne concernent pas de problèmes de sécurité. Y compris, mais sans s’y limiter, les défauts de fonctionnement du produit, les pages brouillées, le mélange de styles, etc.
2. Vulnérabilités ne peuvent être reproduites ou autres problèmes qui ne peuvent pas être directement reflétés. Cela inclut, sans s’y limiter, des questions purement spéculatives de l’utilisateur
Question.
Principes généraux des critères de notation :
1. Les critères de notation ne s’appliquent qu’à tous les produits et services UCloud. Les noms de domaine incluent, sans s’y limiter, *.ucloud.cn, serveur
Comprend des serveurs exploités par UCloud, et les produits sont des produits mobiles publiés par UCloud.
2. Les récompenses pour bugs sont limitées aux vulnérabilités soumises sur le Centre de Réponse de Sécurité UCloud, et non à celles soumises sur d’autres plateformes
Points.
3. La soumission de vulnérabilités divulguées sur Internet ne sera pas notée.
4. Score pour le premier commet ayant la même vulnérabilité.
5. Plusieurs vulnérabilités provenant d’une même source de vulnérabilité sont enregistrées comme 1.
6. Pour la même URL de lien, si plusieurs paramètres présentent des vulnérabilités similaires, le même lien sera différent selon un crédit de vulnérabilité
type, la récompense sera donnée selon le degré de dommage.
7. Pour les vulnérabilités générales causées par les systèmes de terminaux mobiles, tels que webkit uxss, exécution de code, etc., seule la première est donnée
Les récompenses des rapporteurs de vulnérabilités ne seront plus comptées pour le même rapport de vulnérabilité que d’autres produits.
8. Le score final de chaque vulnérabilité est déterminé par l’examen complet de l’exploitabilité de la vulnérabilité, de la taille du préjudice et de l’ampleur de l’impact. C’est possible
Les points de vulnérabilité avec des niveaux de vulnérabilité faibles sont plus élevés que ceux avec des niveaux de vulnérabilité élevés.
9. Les White Hats sont invités à fournir des POC/exploits lors du signalement des vulnérabilités et à fournir une analyse des vulnérabilités correspondante pour accélérer les administrateurs
La vitesse de traitement peut être directement affectée pour les soumissions de vulnérabilités qui ne sont pas fournies par le POC ou l’exploit, ou qui ne sont pas analysées en détail
Récompenses.
Processus de paiement de bonus :
Le personnel de l’USRC négociait avec les white hats la date et la manière dont les cadeaux seraient distribués.
Résolution des litiges :
Si le sténographe a des objections à l’évaluation ou à l’évaluation des vulnérabilités lors du processus de gestion des vulnérabilités, contactez l’administrateur en temps utile
La communication. Le Centre d’intervention d’urgence de sécurité de l’UCloud prendra la priorité sur les intérêts des signalistes de vulnérabilités et le fera si nécessaire
Introduire des autorités externes pour juger conjointement.
|
Publié sur 28/09/2015 00:14:33
|
|
|
