Alapelvek
1. Az UCloud nagy jelentőséget tulajdonít termékeinek és üzletágának biztonságának, és mindig is elkötelezett volt a felhasználók biztonságának biztosítása mellett
Várjuk, hogy a UCloud hálózatát a Security Response Center segítségével bővítsük, szorosan együttműködve az iparág egyénekével, szervezeteivel és vállalataival
Biztonsági szint.
2. UCloud Köszönjük a fehér kalapos hackereket, akik segítettek megvédeni felhasználóink érdekeit és javítani a UCloud Biztonsági Központot
és visszaadni.
3. Az UCloud ellenzi és elítéli azokat a sebezhetőségeket, amelyek a sebezhetőségi tesztelést ürügyként használják a felhasználók érdekeinek tönkretételére és ártajára
Hackelési tevékenységek, beleértve a sebezhetőségek kihasználását a felhasználói információk ellopására, üzleti rendszerek megtámadására, módosításokra és kapcsolódó információk ellopására
egységes adatok, sebezhetőségek vagy adatok rosszindulatú terjesztése. Az UCloud jogi felelősséget vállal a fent említett cselekmények bármely ügyéért.
Sebezhetőségi visszacsatolás és kezelési folyamat
1. Szolgáltass sebezhetőségi információkat e-mailben, Weibón vagy a QQ csoporton.
2. Egy munkanapon belül az USRC munkatársai visszaköszönik a sebezhetőségi jelentés megérkezését, és utána lépnek a probléma értékelésének megkezdéséhez.
3. Három munkanapon belül az USRC munkatársai foglalkoznak a problémával, lezárják a döntést, és ellenőrzik az ítéletet. (Ha szükséges, megadják.)
A riporter kommunikál és megerősíti, és segítséget kér tőle. )
4. Az üzleti osztály kijavítja a sebezhetőséget, és elintézi a frissítés online-át, a javítási idő pedig a probléma súlyosságától és a javítás nehézségétől függ.
5. Sebezhetőségi riporterek vizsgálják a sebezhetőségeket.
6. Oszd szét a jutalmakat.
Biztonsági sebezhetőségek pontozási kritériumai
Minden sebezhetőségi szintre átfogó vizsgálatot végezünk, amely a sebezhetőség kihasználásának technikai nehézségére és annak hatására épül
Megfontolás, különböző szintekre osztva, és megfelelő pontokat adva.
A sebezhetőség szolgáltatási szintje szerint a sebezhetőségi kár négy szintre oszlik: magas kockázat, közepes kockázat, alacsony kockázat és figyelmen kívül hagyott
A lefedett sebezhetőségek és a pontozási kritériumok a következők:
Magas kockázat:
Jutalom: 1000-2000 jüan értékű bevásárlókártyák vagy azonos értékű ajándékok, többek között, de nem kizárólagosan:
1. Egy sebezhetőség, amely közvetlenül rendszerjogosultságokat (szerver jogosultságok, adatbázis-jogosultságok) szerez. Ez magában foglalja, de nem kizárólagosan, távoli, tetszőleges parancsokat
Végrehajtás, kód végrehajtás, tetszőleges fájlfeltöltés a Webshell eléréséhez, puffertúlterhelés, SQL injekció a rendszerjogok megszerzéséhez
Korlátok, szerver sebezhetőségek elemzése, fájlbeépítési sebezhetőségek stb.
2. Komoly logikai tervezési hibák. Ez magában foglalja, de nem kizárólagosan, bármely fiókkal való bejelentkezést, bármely fiók jelszó megváltoztatását, valamint SMS-ek és e-mail ellenőrzést
Kerülés.
3. Súlyos érzékeny információk szivárogtatása. Ez magában foglalja, de nem kizárólagosan, komoly SQL beépítést, tetszőleges fájlbeépítést stb.
4. Engedély nélküli hozzáférés. Ez magában foglalja, de nem kizárólagosan, hogy megkerüljük a hitelesítést, hogy közvetlenül hozzáférjen a háttérhez, a háttérbejelentkezés gyenge jelszavát, az SSH gyenge jelszót stb
A könyvtár szerint a jelszó gyenge, stb.
5. Szerezze meg a UCloud felhasználói adatait vagy engedélyeit az UCloud platformon keresztül.
Közepes veszély:
Jutalmak: 500-1000 jüan értékű bevásárlókártya vagy ajándék, amelyek ugyanannyira értékesek, többek között:
1. Sebezhetőségek, amelyek interakciót igényelnek a felhasználói identitás megszerzéséhez. Többek között a tárolóalapú XSS-t is.
2. Szokásos logikai tervezési hibák. Beleértve, de nem kizárólagosan, korlátlan SMS-eket és e-mailküldést.
3. Nem fókuszált termékvonalak, nehéz SQL injekciós sebezhetőségek kiaknázása stb.
Alacsony kockázat:
Jutalom: 100-500 jüan értékű bevásárlókártyák vagy azonos értékű ajándékok, többek között, de nem kizárólagosan:
1. Általános információszivárgás sebezhetőség. Ez magában foglalja, de nem kizárólagosan, az út szivárgását, SVN fájl szivárgását, LOG fájl szivárgását,
phpinfo, stb.
2. Olyan sebezhetőségek, amelyeket nem lehet kihasználni vagy nehezen kihasználni, beleértve, de nem kizárólagosan a reflektív XSS-re.
Figyelmen kívül hagyd:
Ez a szint tartalmazza:
1. Olyan hibák, amelyek nem tartalmaznak biztonsági problémákat. Beleértve, de nem kizárólagosan, termékfunkciós hibákat, elmosódott oldalakat, stíluskeverést stb.
2. Olyan sebezhetőségek, amelyeket nem lehet reprodukálni, vagy más problémák, amelyeket nem lehet közvetlenül tükrözni. Ez magában foglalja, de nem kizárólagosan, kizárólag felhasználói spekulatív kérdéseket
Kérdés.
A pontozási kritériumok általános alapelvei:
1. A pontozási kritériumok csak minden UCloud termékre és szolgáltatásra vonatkoznak. A domainnevek közé tartozik, de nem kizárólagosan, *.ucloud.cn, szerver
Tartalmazza a UCloud által üzemeltetett szervereket, és a termékek a UCloud által kiadott mobil termékek.
2. A hibajutalmak csak a UCloud Security Response Centeren benyújtott sebezhetőségekre korlátozódnak, nem pedig más platformokon beküldettekre
Pontok.
3. Az interneten felfedett sebezhetőségek beküldése nem pontozható.
4. Pontot a legkorábbi elkövető ugyanabból a sebezhetőségből.
5. Ugyanabból a sebezhetőségi forrásból származó több sebezhetőség csak 1-ként van rögzítve.
6. Ugyanazon linki URL-nél, ha több paraméternek is vannak hasonló sebezhetőségei, ugyanaz a link egy sebezhetőségi hitel alapján eltér
a jutalom a kár fokának megfelelően kapható.
7. Általános célú sebezhetőségek esetén, amelyeket mobil terminálrendszerek okoznak, mint például webkit uxss, kódvégrehajtás stb., csak az első megadják
A sebezhetőségi jelentő jutalmai többé nem számítanak bele ugyanarra a sebezhetőségi jelentésre, mint más termékek.
8. Minden sebezhetőség végső pontszáma a sebezhetőség kihasználhatóságának, a kár méretének és a hatás mértékének átfogó mérlegelésével határozzák meg. Lehetséges
Az alacsony sebezhetőségi szinttel rendelkező sebezhetőségi pontok magasabbak, mint a magas sebezhetőségi szintűek.
9. A fehér kalapokokat arra kérik, hogy POC/exploitot adjanak meg sebezhetőségek jelentésekor, és hozzájuk tartoznak a sebezhetőségi elemzést az adminisztrátorok felgyorsítására
A feldolgozási sebesség közvetlenül befolyásolható azoknál a sebezhetőségi beküldéseknél, amelyeket a POC nem biztosít, vagy kihasznál, vagy nem elemezve részletesen
Jutalom.
Bónusz fizetés folyamata:
Az USRC munkatársai tárgyaltak a fehér kalaposokkal arról, hogy mikor és hogyan osztják szét az ajándékokat.
Vitarendezés:
Ha a bejelentőnek bármilyen kifogása van a sebezhetőségi értékeléssel vagy a sebezhetőség-értékeléssel kapcsolatban a sebezhetőségkezelési folyamat során, azonnal vegye fel a kapcsolatot az adminisztrátorral
Kommunikáció. A UCloud Biztonsági Vészhelyzeti Reagáló Központ elsőbbséget fog helyezni a sebezhetőségi jelentések érdekeivel szemben, és szükség esetén ezt is megteszi
Külső hatóságokat hozzunk létre, hogy közösen ítélkezzenek.
|
Közzétéve 2015. 09. 28. 0:14:33
|
|
|
