この記事は機械翻訳のミラー記事です。元の記事にジャンプするにはこちらをクリックしてください。

Architect_Programmer_Code農業ネットワーク»建築家 その他の技術 安全な攻防 UCloud脆弱性処理プロセスと報酬の詳細
眺める: 12750|答える: 0

[セキュリティ脆弱性] UCloud脆弱性処理プロセスと報酬の詳細

[リンクをコピー]
掲載地 2015/09/28 0:14:33 | | |
基本原則
1. UCloudは製品と事業のセキュリティを非常に重視しており、常にユーザーの安全を確保することにコミットしています
    業界の個人、組織、企業と密接に連携し、セキュリティレスポンスセンターを通じてUCloudのネットワークを強化していくことを楽しみにしています
    安全レベル。
2. UCloud ユーザーの利益を守り、UCloudセキュリティセンターの改善に貢献してくださったホワイトハットハッカーの皆様に感謝します
    そして恩返しをする。
3. UCloudは、脆弱性テストを口実にユーザーの利益を破壊・害するすべての脆弱性に反対し、非難します
    ハッキング活動には、ユーザー情報を盗み、ビジネスシステムへの侵入、改変、関連情報の盗難などが含まれますが、これらに限定されません
    統合データ、脆弱性やデータの悪意ある拡散。 UCloudは上記のいずれの行為についても法的責任を追求します。
脆弱性フィードバックと処理プロセス
1. 脆弱性情報をメール、微博、QQグループで提出してください。
2. 1営業日以内にUSRCスタッフが脆弱性報告の受領を確認し、問題の評価を開始するためにフォローアップを行います。
3. 3営業日以内にUSRCスタッフが問題に対応し、結論を出し、賞金を確認します。 (必要ならば、その許可が出されます。)
    記者は連絡を取り、確認し、記者に支援を求めます。 )
4. ビジネス部門が脆弱性を修正し、アップデートをオンラインにする手配を行い、修復時間は問題の深刻度や修理の難易度によって異なります。
5. 脆弱性レポートは脆弱性をレビューします。
6. 報酬を配る。

セキュリティ脆弱性評価基準
各脆弱性レベルごとに、脆弱性の技術的難易度と脆弱性の影響に基づいて包括的な調査を行います
考慮は異なるレベルに分けられ、対応するポイントが与えられます。
脆弱性のサービスレベルに応じて、脆弱性の害の程度は高リスク、中リスク、低リスク、そして無視の4つのレベルに分けられます。
対象となる脆弱性とスコアリング基準は以下の通りです。
ハイリスク:
報酬:1000〜2000元相当のショッピングカードや同額のギフト(以下を含みますが、これらに限定されません):
1. システム権限(サーバー権限、データベース権限)を直接取得する脆弱性。 これには、遠隔の任意のコマンドも含まれますが、これらに限定されません
    実行、コード実行、任意のファイルアップロードによるWebshell取得、バッファオーバーフロー、システム権限取得のためのSQLインジェクション
    制限、サーバー解析の脆弱性、ファイル包含の脆弱性など。
2. 深刻な論理設計上の欠陥。 これには、どのアカウントでもログインすること、パスワードの変更、SMSやメールの認証などが含まれますが、これらに限定されません
    バイパス。
3. 重大な機密情報の漏洩。 これには、深刻なSQLインジェクション、任意のファイル包含などが含まれますが、これらに限定されません。

4. 不正アクセス。 これには認証を回避してバックグラウンドに直接アクセスすること、バックグラウンドログインの弱いパスワード、SSHの弱いパスワードなどが含まれますが、これらに限定されません
    図書館によると、パスワードは弱いなどと言われています。
5. UCloudプラットフォームを通じてユーザーUCloudのユーザーデータまたは権限を取得すること。
中程度の危険度:
リワード:同額のショッピングカードやギフトが500〜1000元相当で、以下が含まれますがこれらに限定されません。
1. ユーザーID情報を取得するために操作を必要とする脆弱性。 ストレージベースのXSSなども含まれます。
2. 通常の論理設計の欠陥。 無制限のSMSやメール送信も含まれますが、これに限定されません。
3. 焦点を絞らない製品ライン、難しいSQLインジェクション脆弱性の悪用など。

低リスク:
リワード:100〜500元相当のショッピングカードや同額のギフト(以下を含みますが、これらに限定されません):
1. 一般的な情報漏洩の脆弱性。 これにはパスリーク、SVNファイルリーク、LOGファイルリークなどが含まれますが、これに限定されません。
    phpinfoなど。
2. 悪用できない、または悪用が難しい脆弱性、例えば反射型XSSを含むがこれらに限定されない脆弱性。
無視:
このレベルには以下が含まれます:
1. セキュリティ問題を伴わないバグ。 製品機能の欠陥、ページの乱れ、スタイルミックスなどが含まれますが、これらに限定されません。
2. 再現できない脆弱性や直接反映できないその他の問題。 これには純粋にユーザーによる推測的な質問も含まれますが、これらに限定されません
    質問です。

採点基準の一般的な原則:
1. スコアリング基準はすべてのUCloud製品およびサービスにのみ適用されます。 ドメイン名には、*.ucloud.cn、サーバーなどが含まれますが、これらに限定されません
    UCloudが運用するサーバーを含み、製品はUCloudがリリースしたモバイル製品です。
2. バグ報酬はUCloudセキュリティレスポンスセンターで提出された脆弱性に限定され、他のプラットフォームで提出されたものには適用されません
    ポイント。
3. インターネット上で開示された脆弱性の提出は評価されません。
4. 同じ脆弱性の最も早いコミット者にスコアをつける。
5. 同じ脆弱性ソースからの複数の脆弱性は1つとして記録されます。
6. 同じリンクURLに対して、複数のパラメータに類似した脆弱性がある場合、同じリンクは1つの脆弱性クレジットに応じて異なるものになります
    種類では、被害の程度に応じて報酬が与えられます。
7. webkit uxssやコード実行など、モバイル端末システムによって引き起こされる汎用脆弱性については、最初の脆弱性のみが示されています
    脆弱性報告者の報酬は、他の製品と同じ脆弱性報告にはもはやカウントされません。

8. 各脆弱性の最終スコアは、脆弱性の悪用可能性、被害の大きさ、影響範囲を包括的に考慮した結果に決定されます。 可能です
    脆弱性レベルが低い脆弱性ポイントは、高い脆弱性レベルの脆弱性よりも高いです。
9. ホワイトハットは脆弱性報告時にPOC/エクスプロイトを提供し、管理者の対応する脆弱性分析を行うよう求められます
    POCやエクスプロイトから提供されていない脆弱性の提出、または詳細に分析されていない脆弱性の提出は、処理速度に直接影響を受ける可能性があります
    報酬。

ボーナス支払いプロセス:
USRCのスタッフはホワイトハットと、ギフトの配布時期と方法について交渉しました。
紛争解決:
脆弱性処理プロセス中に脆弱性評価や評価に異議がある場合は、速やかに管理者に連絡してください
コミュニケーション。 UCloudセキュリティ緊急対応センターは脆弱性報告者の利益よりも優先し、必要に応じてそうします
外部の権限を導入して共同で裁定させること。








先の:JSが最後の一撃をインターセプトする。 IPセグメントの範囲を判断するために使用できます
次に:SQLインジェクションブック - ASPインジェクション脆弱性 フルコンタクト

関連記事
免責事項:
Code Farmer Networkが発行するすべてのソフトウェア、プログラミング資料、記事は学習および研究目的のみを目的としています。 上記の内容は商業的または違法な目的で使用されてはならず、そうでなければ利用者はすべての結果を負うことになります。 このサイトの情報はインターネットからのものであり、著作権紛争はこのサイトとは関係ありません。 ダウンロード後24時間以内に上記の内容を完全にパソコンから削除してください。 もしこのプログラムを気に入ったら、正規のソフトウェアを支持し、登録を購入し、より良い本物のサービスを受けてください。 もし侵害があれば、メールでご連絡ください。
Mail To:help@itsvse.com