Principi di base
1. UCloud attribuisce grande importanza alla sicurezza dei suoi prodotti e del proprio business, ed è sempre stata impegnata a garantire la sicurezza degli utenti
Non vediamo l'ora di migliorare la rete di UCloud attraverso il Security Response Center lavorando a stretto contatto con individui, organizzazioni e aziende del settore
Livello di sicurezza.
2. UCloud Ringraziamo gli hacker white hat che hanno contribuito a proteggere gli interessi dei nostri utenti e a migliorare il Centro di Sicurezza UCloud
e restituire qualcosa.
3. UCloud si oppone e condanna tutte le vulnerabilità che utilizzano il test delle vulnerabilità come scusa per distruggere e danneggiare gli interessi degli utenti
Attività di hacking, inclusi ma non limitati a, sfruttare vulnerabilità per rubare informazioni degli utenti, invadere sistemi aziendali, modificare e rubare informazioni correlate
dati unificati, diffusione dannosa di vulnerabilità o dati. UCloud assumerà la responsabilità legale per ciascuno degli atti sopra citati.
Processo di feedback e gestione delle vulnerabilità
1. Inviare informazioni sulle vulnerabilità via email, Weibo o gruppo QQ.
2. Entro un giorno lavorativo, il personale USRC confermerà la ricezione del rapporto di vulnerabilità e farà un follow-up per iniziare a valutare il problema.
3. Entro tre giorni lavorativi, il personale USRC affronterà la questione, fornirà una conclusione e verificherà il riconoscimento. (Se necessario, verrà concesso.)
Il giornalista comunica e conferma, e chiede al giornalista di aiutarsi. )
4. Il reparto business corregge la vulnerabilità e organizza l'aggiornamento per l'attivazione, e il tempo di riparazione dipende dalla gravità del problema e dalla difficoltà della riparazione.
5. I reporter delle vulnerabilità esaminano le vulnerabilità.
6. Distribuire le ricompense.
Criteri di valutazione delle vulnerabilità di sicurezza
Per ogni livello di vulnerabilità, condurremo un esame completo basato sulla difficoltà tecnica di sfruttarla e sull'impatto della vulnerabilità
Considerazione, suddivisa in diversi livelli e con punti corrispondenti.
Secondo il livello di vulnerabilità del servizio, il grado di danno da vulnerabilità è suddiviso in quattro livelli: alto rischio, rischio medio, basso rischio e ignorato
Le vulnerabilità trattate e i criteri di punteggio sono i seguenti:
Alto rischio:
Premi: Carte dello shopping del valore di 1000-2000 yuan o regali dello stesso valore, inclusi ma non limitati a:
1. Una vulnerabilità che ottiene direttamente i privilegi del sistema (privilegi del server, privilegi del database). Questo include, ma non si limita a, comandi arbitrari remoti
Esecuzione, esecuzione del codice, caricamento arbitrario di file per ottenere Webshell, overflow di buffer, iniezione SQL per ottenere diritti di sistema
Limitazioni, vulnerabilità nell'analisi dei server, vulnerabilità nell'inclusione di file, ecc.
2. Gravi difetti di progettazione logica. Questo include, ma non si limita a, accedere con qualsiasi account, cambiare la password di un account e verificare SMS ed email
Bypass.
3. Grave fuga di informazioni sensibili. Questo include, ma non è limitato a, una seria iniezione SQL, l'inclusione arbitraria di file, ecc.
4. Accesso non autorizzato. Questo include, ma non si limita a, bypassare l'autenticazione per accedere direttamente a background, password debole per l'accesso in background, password debole SSH, ecc
Secondo la libreria, la password è debole, ecc.
5. Ottenere dati o permessi utente UCloud tramite la piattaforma UCloud.
Pericolo medio:
Ricompense: 500-1000 yuan in carte dello shopping o regali dello stesso valore, inclusi ma non limitati a:
1. Vulnerabilità che richiedono interazione per ottenere informazioni sull'identità dell'utente. Inclusi XSS basati su storage, tra gli altri.
2. Difetti di progettazione logica ordinaria. Inclusi, ma non limitati, invio illimitato di SMS e email.
3. Linee di prodotto non focalizzate, sfruttamento di vulnerabilità difficili nell'iniezione SQL, ecc.
Basso rischio:
Ricompense: Carte dello shopping del valore di 100-500 yuan o regali dello stesso valore, inclusi ma non limitati a:
1. Vulnerabilità generale alla fuga di informazioni. Questo include, ma non è limitato a, perdita di percorso, fuga di file SVN, fuga di file LOG,
phpinfo, ecc.
2. Vulnerabilità che non possono essere sfruttate o difficili da sfruttare, inclusi ma non limitati a XSS riflessivo.
Ignora:
Questo livello include:
1. Bug che non riguardano problemi di sicurezza. Inclusi, ma non limitati a, difetti di funzionamento del prodotto, pagine distorte, miscelazione di stili, ecc.
2. Vulnerabilità che non possono essere riprodotte o altri problemi che non possono essere direttamente riflessi. Questo include, ma non si limita a, domande puramente speculative per l'utente
Domanda.
Principi generali dei criteri di punteggio:
1. I criteri di punteggio si applicano solo a tutti i prodotti e servizi UCloud. I nomi di dominio includono, ma non sono limitati a, *.ucloud.cn, server
Include server gestiti da UCloud, e i prodotti sono prodotti mobili rilasciati da UCloud.
2. Le ricompense per bug sono limitate alle vulnerabilità inviate sul Centro di Risposta alla Sicurezza UCloud, non a quelle inviate su altre piattaforme
Punti.
3. Segnalare vulnerabilità che sono state rivelate su Internet non sarà valutato.
4. Punteggio per il primo committente della stessa vulnerabilità.
5. Più vulnerabilità provenienti dalla stessa fonte di vulnerabilità sono registrate come solo 1.
6. Per lo stesso URL del link, se più parametri presentano vulnerabilità simili, lo stesso link sarà diverso secondo un credito di vulnerabilità
tipo, la ricompensa sarà data in base al grado di danno.
7. Per vulnerabilità generiche causate da sistemi terminali mobili, come webkit uxss, esecuzione di codice, ecc., viene fornita solo la prima
Le ricompense dei segnalatori di vulnerabilità non saranno più conteggiate per lo stesso report di vulnerabilità di altri prodotti.
8. Il punteggio finale di ogni vulnerabilità è determinato dalla considerazione approfondita della vulnerabilità sfruttabile, della dimensione del danno e dell'ampiezza dell'impatto. È possibile
I punti di vulnerabilità con bassi livelli di vulnerabilità sono più alti rispetto a quelli con livelli elevati.
9. È richiesto ai white hat di fornire POC/exploit quando segnalano vulnerabilità e di fornire l'analisi delle vulnerabilità corrispondente per velocizzare gli amministratori
La velocità di elaborazione può essere direttamente influenzata per segnalazioni di vulnerabilità che non sono fornite dal POC o dall'exploit o che non vengono analizzate in dettaglio
Ricompense.
Processo di pagamento bonus:
Il personale USRC negoziava con i white hats quando e come i regali sarebbero stati distribuiti.
Risoluzione delle controversie:
Se il segnalatore ha obiezioni alla valutazione o al punteggio delle vulnerabilità durante il processo di gestione delle vulnerabilità, contatta l'amministratore tempestivamente
Comunicazione. Il Centro di Risposta alle Emergenze di Sicurezza di UCloud avrà la precedenza sugli interessi dei reporter di vulnerabilità e lo farà se necessario
Introdurre autorità esterne per giudicare congiuntamente.
|
Pubblicato su 28/09/2015 00:14:33
|
|
|
