기본 원칙
1. UCloud는 제품과 비즈니스의 보안을 매우 중요하게 여기며, 항상 사용자 안전을 보장하는 데 전념해 왔습니다
우리는 업계 내 개인, 조직, 기업과 긴밀히 협력하여 보안 대응 센터를 통해 UCloud의 네트워크를 강화하기를 기대합니다
안전 수준.
2. UCloud 사용자들의 이익을 보호하고 UCloud 보안 센터를 개선하는 데 도움을 준 화이트 햇 해커들에게 감사드립니다
그리고 돌려주는 것.
3. UCloud는 취약점 테스트를 이용해 사용자의 이익을 훼손하는 모든 취약점에 반대하고 규탄합니다
해킹 활동에는 취약점을 이용해 사용자 정보를 탈취하거나, 비즈니스 시스템 침입, 관련 정보를 변경하고 훔치는 행위가 포함되나 이에 국한되지 않습니다
통합된 데이터, 취약점 또는 데이터의 악의적 유포. UCloud는 위 행위들에 대해 법적 책임을 추구할 것입니다.
취약점 피드백 및 처리 과정
1. 이메일, 웨이보, QQ 그룹을 통해 취약점 정보를 제출하세요.
2. 영업일 1일 이내에 USRC 직원이 취약점 보고서를 수령한 것을 확인하고, 문제 평가를 시작하기 위해 후속 조치를 취할 것입니다.
3. 3영업일 이내에 USRC 직원들이 문제를 해결하고 결론을 내린 후 수여를 확인합니다. (필요하다면 제공될 것이다.)
기자가 의사소통하고 확인한 뒤, 기자에게 도움을 요청합니다. )
4. 비즈니스 부서가 취약점을 수정하고 업데이트를 온라인으로 진행하며, 수리 시간은 문제의 심각성과 수리 난이도에 따라 달라집니다.
5. 취약점 리포터는 취약점을 검토합니다.
6. 보상을 분배한다.
보안 취약점 평가 기준
취약점 수준별로 기술적 난이도와 취약점의 영향을 바탕으로 종합적인 조사를 실시합니다
고려 과정은 여러 단계로 나뉘어 그에 상응하는 점수를 부여받습니다.
취약성 서비스 수준에 따라 취약성 피해 정도는 네 가지 수준으로 나뉩니다: 고위험, 중간 위험, 저위험, 그리고 무시됨
다루는 취약점과 평가 기준은 다음과 같습니다:
고위험:
보상: 1000-2000위안 상당의 쇼핑 카드 또는 동일 가치의 선물, 여기에는 다음이 포함되지만 이에 국한되지 않습니다:
1. 시스템 권한(서버 권한, 데이터베이스 권한)을 직접 얻는 취약점. 여기에는 원격 임의의 명령어가 포함되지만 이에 국한되지는 않습니다
실행, 코드 실행, 임의의 파일 업로드(웹셸 획득), 버퍼 오버플로우, SQL 인젝션(시스템 권한 획득)
제한 사항, 서버 파싱 취약점, 파일 포함 취약점 등.
2. 심각한 논리 설계 결함. 여기에는 어떤 계정으로든 로그인, 계정 비밀번호 변경, SMS 및 이메일 인증 등이 포함되지만 이에 국한되지 않습니다
우회.
3. 민감한 정보의 심각한 유출. 여기에는 심각한 SQL 인젝션, 임의의 파일 포함 등이 포함되지만 이에 국한되지 않습니다.
4. 무단 접근. 여기에는 백그라운드에 직접 접근하기 위한 인증 우회, 백그라운드 로그인 약한 비밀번호, SSH 약한 비밀번호 등이 포함되지만 이에 국한되지 않습니다
도서관 측에 따르면 비밀번호가 약하다고 합니다.
5. UCloud 플랫폼을 통해 사용자 UCloud 사용자 데이터 또는 권한을 획득합니다.
중간 위험:
보상: 동일 가치의 쇼핑 카드 또는 선물 500-1000위안, 다음을 포함하되 이에 국한되지 않습니다:
1. 사용자 신원 정보를 얻기 위해 상호작용이 필요한 취약점. 스토리지 기반 XSS 등 다양한 기능을 포함합니다.
2. 일반 논리 설계 결함. 무제한 SMS와 이메일 전송도 포함하되 이에 국한되지 않습니다.
3. 비집중 제품 라인, 어려운 SQL 인젝션 취약점 악용 등.
위험이 낮음:
보상: 100-500위안 상당의 쇼핑 카드 또는 동일 가치의 선물, 여기에는 다음이 포함되지만 이에 국한되지 않습니다:
1. 일반 정보 유출 취약점. 여기에는 경로 누설, SVN 파일 누설, LOG 파일 누설 등이 포함되지만 이에 국한되지 않습니다.
PHPINFO 등등.
2. 반사형 XSS를 포함하되 이에 국한되지 않는 악용이 불가능하거나 악용하기 어려운 취약점.
무시하세요:
이 단계에는 다음이 포함됩니다:
1. 보안 문제와 관련 없는 버그. 제품 기능 결함, 엉성한 페이지, 스타일 믹싱 등 다양한 문제가 포함됩니다.
2. 재현할 수 없는 취약점이나 직접적으로 반영할 수 없는 기타 문제들. 여기에는 순전히 사용자 추측에 기반한 질문도 포함되지만 이에 국한되지 않습니다
질문입니다.
점수 기준의 일반 원칙:
1. 점수 기준은 모든 UCloud 제품 및 서비스에만 적용됩니다. 도메인 이름에는 *.ucloud.cn, 서버 등이 포함되지만 이에 국한되지 않습니다
UCloud가 운영하는 서버를 포함하며, 제품은 UCloud에서 출시한 모바일 제품입니다.
2. 버그 보상은 UCloud 보안 대응 센터에 제출된 취약점에 한정되며, 다른 플랫폼에서 제출된 취약점은 포함하지 않습니다
점수.
3. 인터넷에 공개된 취약점을 제출하는 것은 점수가 부여되지 않습니다.
4. 동일한 취약점을 가장 먼저 커밋한 사람에게 점수를 부여합니다.
5. 동일한 취약점 출처에서 발생한 여러 취약점은 1개로 기록됩니다.
6. 동일한 링크 URL에 대해 여러 매개변수가 유사한 취약점을 가진 경우, 동일한 링크는 하나의 취약점 크레딧에 따라 다르게 나타납니다
유형, 보상은 피해 정도에 따라 주어집니다.
7. 모바일 단말기 시스템으로 인한 범용 취약점, 예를 들어 webkit uxss, 코드 실행 등은 첫 번째 취약점만 제시됩니다
취약점 리포터 보상은 더 이상 다른 제품과 동일한 취약점 보고서에 포함되지 않습니다.
8. 각 취약점의 최종 점수는 취약점 악용 가능성, 피해 규모, 영향 범위를 종합적으로 고려하여 결정됩니다. 가능해요
취약점이 낮은 취약점이 높은 취약점보다 높습니다.
9. 화이트햇은 취약점을 보고할 때 POC/익스플로잇을 제공하고, 관리자 작업 속도를 높이기 위한 취약점 분석을 제공하도록 요청됩니다
POC나 익스플로잇에서 제공하지 않거나 상세히 분석되지 않은 취약점 제출의 경우 처리 속도에 직접적인 영향을 받을 수 있습니다
보상.
보너스 지급 절차:
USRC 직원들은 선물이 언제 어떻게 배포될지 백모자들과 협상했습니다.
분쟁 해결:
신고자가 취약점 평가나 취약점 평가 과정에서 이의가 있을 경우, 신속하게 관리자에게 연락하십시오
소통. UCloud 보안 긴급 대응 센터는 취약점 신고자들의 이익보다 우선시하며, 필요 시 그렇게 할 것입니다
공동 판결을 위해 외부 당국을 도입하세요.
|
게시됨 2015. 9. 28. 오전 12:14:33
|
|
|
