Artikel ini adalah artikel cermin dari terjemahan mesin, silakan klik di sini untuk melompat ke artikel aslinya.

Jaringan Pertanian Architect_Programmer_Code»Arsitek Teknologi Lainnya Serangan dan pertahanan yang aman Proses penanganan kerentanan UCloud dan detail hadiah
Melihat: 12750|Jawab: 0

[Kerentanan Keamanan] Proses penanganan kerentanan UCloud dan detail hadiah

[Salin tautan]
Diposting pada 28/09/2015 00.14.33 | | |
Prinsip dasar
1. UCloud sangat mementingkan keamanan produk dan bisnisnya, dan selalu berkomitmen untuk memastikan keselamatan pengguna
    Kami berharap dapat meningkatkan jaringan UCloud melalui Pusat Respons Keamanan dengan bekerja sama dengan individu, organisasi, dan perusahaan di industri ini
    Tingkat keamanan.
2. UCloud Kami berterima kasih kepada peretas topi putih yang membantu melindungi kepentingan pengguna kami dan membantu meningkatkan Pusat Keamanan UCloud
    dan memberi kembali.
3. UCloud menentang dan mengutuk semua kerentanan yang menggunakan pengujian kerentanan sebagai alasan untuk menghancurkan dan merugikan kepentingan pengguna
    Aktivitas peretasan, termasuk namun tidak terbatas pada mengeksploitasi kerentanan untuk mencuri informasi pengguna, menyerang sistem bisnis, memodifikasi, dan mencuri informasi terkait
    data terpadu, penyebaran kerentanan atau data yang berbahaya. UCloud akan mengejar tanggung jawab hukum untuk salah satu tindakan di atas.
Umpan balik kerentanan dan proses penanganan
1. Kirimkan informasi kerentanan melalui email, Weibo, atau grup QQ.
2. Dalam satu hari kerja, staf USRC akan mengakui penerimaan laporan kerentanan dan menindaklanjuti untuk mulai menilai masalah tersebut.
3. Dalam tiga hari kerja, staf USRC akan mengatasi masalah ini, memberikan kesimpulan, dan memeriksa penghargaan. (Jika perlu, itu akan diberikan.)
    Pelapor berkomunikasi dan mengkonfirmasi, dan meminta reporter untuk membantu. )
4. Departemen bisnis memperbaiki kerentanan dan mengatur pembaruan untuk online, dan waktu perbaikan tergantung pada tingkat keparahan masalah dan kesulitan perbaikan.
5. Pelapor kerentanan meninjau kerentanan.
6. Bagikan hadiah.

Kriteria penilaian kerentanan keamanan
Untuk setiap tingkat kerentanan, kami akan melakukan pemeriksaan komprehensif berdasarkan kesulitan teknis mengeksploitasi kerentanan dan dampak kerentanan
Pertimbangan, dibagi menjadi beberapa tingkatan, dan diberikan poin yang sesuai.
Menurut tingkat kerentanan layanan, tingkat bahaya kerentanan dibagi menjadi empat tingkatan: risiko tinggi, risiko sedang, risiko rendah, dan diabaikan
Kerentanan yang tercakup dan kriteria penilaian adalah sebagai berikut:
Risiko tinggi:
Hadiah: Kartu belanja senilai 1000-2000 yuan atau hadiah dengan nilai yang sama, termasuk namun tidak terbatas pada:
1. Kerentanan yang secara langsung memperoleh hak istimewa sistem (hak istimewa server, hak istimewa database). Ini termasuk tetapi tidak terbatas pada perintah arbitrer jarak jauh
    Eksekusi, eksekusi kode, unggah file arbitrer untuk mendapatkan Webshell, buffer overflow, injeksi SQL untuk mendapatkan hak sistem
    Batasan, kerentanan penguraian server, kerentanan penyertaan file, dll.
2. Cacat desain logika yang serius. Ini termasuk tetapi tidak terbatas pada masuk dengan akun apa pun, mengubah kata sandi akun apa pun, dan memverifikasi SMS dan email
    Lewat.
3. Kebocoran informasi sensitif yang serius. Ini termasuk, tetapi tidak terbatas pada, injeksi SQL yang serius, penyertaan file sewenang-wenang, dll.

4. Akses tidak sah. Ini termasuk tetapi tidak terbatas pada melewati otentikasi untuk mengakses latar belakang secara langsung, kata sandi lemah login latar belakang, kata sandi lemah SSH, dll
    Menurut perpustakaan, kata sandinya lemah, dll.
5. Dapatkan data atau izin pengguna UCloud pengguna melalui platform UCloud.
Bahaya Sedang:
Hadiah: Kartu belanja atau hadiah senilai 500-1000 yuan dengan nilai yang sama, termasuk namun tidak terbatas pada:
1. Kerentanan yang memerlukan interaksi untuk mendapatkan informasi identitas pengguna. Termasuk XSS berbasis penyimpanan, antara lain.
2. Cacat desain logika biasa. Termasuk namun tidak terbatas pada pengiriman SMS dan email tanpa batas.
3. Lini produk yang tidak terfokus, mengeksploitasi kerentanan injeksi SQL yang sulit, dll.

Risiko rendah:
Hadiah: Kartu belanja senilai 100-500 yuan atau hadiah dengan nilai yang sama, termasuk namun tidak terbatas pada:
1. Kerentanan kebocoran informasi umum. Ini termasuk tetapi tidak terbatas pada kebocoran jalur, kebocoran file SVN, kebocoran file LOG,
    phpinfo, dll.
2. Kerentanan yang tidak dapat dieksploitasi atau sulit dieksploitasi, termasuk namun tidak terbatas pada XSS reflektif.
Abaikan:
Level ini meliputi:
1. Bug yang tidak melibatkan masalah keamanan. Termasuk namun tidak terbatas pada cacat fungsi produk, halaman yang kacau, pencampuran gaya, dll.
2. Kerentanan yang tidak dapat direproduksi atau masalah lain yang tidak dapat dicerminkan secara langsung. Ini termasuk tetapi tidak terbatas pada pertanyaan yang murni spekulatif pengguna
    Pertanyaan.

Prinsip umum kriteria penilaian:
1. Kriteria penilaian hanya berlaku untuk semua produk dan layanan UCloud. Nama domain termasuk, tetapi tidak terbatas pada, *.ucloud.cn, server
    Termasuk server yang dioperasikan oleh UCloud, dan produknya adalah produk seluler yang dirilis oleh UCloud.
2. Hadiah bug terbatas pada kerentanan yang dikirimkan di Pusat Respons Keamanan UCloud, bukan yang dikirimkan di platform lain
    Poin.
3. Mengirimkan kerentanan yang telah diungkapkan di Internet tidak akan dinilai.
4. Skor untuk penerapan paling awal dari kerentanan yang sama.
5. Beberapa kerentanan dari sumber kerentanan yang sama dicatat sebagai hanya 1.
6. Untuk URL tautan yang sama, jika beberapa parameter memiliki kerentanan yang sama, tautan yang sama akan berbeda sesuai dengan satu kredit kerentanan
    jenis, hadiah akan diberikan sesuai dengan tingkat kerugian.
7. Untuk kerentanan tujuan umum yang disebabkan oleh sistem terminal seluler, seperti webkit uxss, eksekusi kode, dll., Hanya yang pertama yang diberikan
    Reward reporter kerentanan tidak akan lagi dihitung untuk laporan kerentanan yang sama dengan produk lain.

8. Skor akhir dari setiap kerentanan ditentukan oleh pertimbangan komprehensif tentang eksploitasi kerentanan, ukuran bahaya, dan ruang lingkup dampak. Itu mungkin
    Titik kerentanan dengan tingkat kerentanan rendah lebih tinggi daripada kerentanan dengan tingkat kerentanan tinggi.
9. Topi putih diminta untuk memberikan POC/eksploitasi saat melaporkan kerentanan dan memberikan analisis kerentanan yang sesuai untuk mempercepat administrator
    Kecepatan pemrosesan dapat terpengaruh langsung untuk pengiriman kerentanan yang tidak disediakan oleh POC atau eksploitasi atau tidak dianalisis secara rinci
    Hadiah.

Proses Pembayaran Bonus :
Staf USRC bernegosiasi dengan topi putih kapan dan bagaimana hadiah akan didistribusikan.
Penyelesaian Sengketa :
Jika pelapor memiliki keberatan terhadap penilaian kerentanan atau penilaian kerentanan selama proses penanganan kerentanan, hubungi administrator tepat waktu
Komunikasi. Pusat Tanggap Darurat Keamanan UCloud akan lebih diutamakan daripada kepentingan pelapor kerentanan dan akan melakukannya jika perlu
Perkenalkan otoritas eksternal untuk mengadili bersama.








Mantan:JS mencegat yang terakhir. dapat digunakan untuk menilai rentang segmen IP
Depan:Buku Injeksi SQL - Kerentanan Injeksi ASP Kontak Lengkap

Pos terkait
Sanggahan:
Semua perangkat lunak, materi pemrograman, atau artikel yang diterbitkan oleh Code Farmer Network hanya untuk tujuan pembelajaran dan penelitian; Konten di atas tidak boleh digunakan untuk tujuan komersial atau ilegal, jika tidak, pengguna akan menanggung semua konsekuensi. Informasi di situs ini berasal dari Internet, dan sengketa hak cipta tidak ada hubungannya dengan situs ini. Anda harus sepenuhnya menghapus konten di atas dari komputer Anda dalam waktu 24 jam setelah pengunduhan. Jika Anda menyukai program ini, harap dukung perangkat lunak asli, pembelian pendaftaran, dan dapatkan layanan asli yang lebih baik. Jika ada pelanggaran, silakan hubungi kami melalui email.
Mail To:help@itsvse.com