Pagrindiniai principai
1. UCloud teikia didelę reikšmę savo produktų ir verslo saugumui ir visada buvo įsipareigojusi užtikrinti vartotojų saugumą
Tikimės sustiprinti UCloud tinklą per saugumo reagavimo centrą, glaudžiai bendradarbiaudami su asmenimis, organizacijomis ir pramonės įmonėmis
Saugos lygis.
2. UCloud Dėkojame baltosios skrybėlės įsilaužėliams, kurie padėjo apsaugoti mūsų vartotojų interesus ir pagerinti UCloud saugumo centrą
ir duoti atgal.
3. "UCloud" prieštarauja ir smerkia visus pažeidžiamumus, kuriuose pažeidžiamumo testavimas naudojamas kaip pretekstas sunaikinti ir pakenkti vartotojų interesams
Įsilaužimo veikla, įskaitant, bet neapsiribojant, pažeidžiamumų išnaudojimą siekiant pavogti vartotojo informaciją, įsiveržti į verslo sistemas, modifikuoti ir pavogti susijusią informaciją
vieningi duomenys, kenkėjiškas pažeidžiamumų ar duomenų platinimas. UCloud prisiims teisinę atsakomybę už bet kurį iš aukščiau išvardytų veiksmų.
Pažeidžiamumo grįžtamasis ryšys ir tvarkymo procesas
1. Pateikite informaciją apie pažeidžiamumą el. paštu, "Weibo" arba QQ grupe.
2. Per vieną darbo dieną USRC darbuotojai patvirtins, kad gavo pažeidžiamumo ataskaitą ir imsis tolesnių veiksmų, kad pradėtų vertinti problemą.
3. Per tris darbo dienas USRC darbuotojai išspręs problemą, pateiks išvadą ir patikrins apdovanojimą. (Jei reikia, jis bus pateiktas.)
Pranešėjas bendrauja ir patvirtina, ir prašo žurnalisto padėti. )
4. Verslo skyrius ištaiso pažeidžiamumą ir pasirūpina, kad naujinimas būtų prijungtas prie interneto, o taisymo laikas priklauso nuo problemos sunkumo ir taisymo sunkumų.
5. Pažeidžiamumo žurnalistai peržiūri pažeidžiamumus.
6. Paskirstykite atlygį.
Saugos pažeidžiamumo vertinimo kriterijai
Kiekvienam pažeidžiamumo lygiui atliksime išsamų tyrimą, pagrįstą techniniais pažeidžiamumo išnaudojimo sunkumais ir pažeidžiamumo poveikiu
Svarstymas, suskirstytas į skirtingus lygius ir atitinkamais taškais.
Pagal paslaugų pažeidžiamumo lygį pažeidžiamumo žalos laipsnis skirstomas į keturis lygius: didelės rizikos, vidutinės rizikos, mažos rizikos ir ignoruojamas
Pažeidžiamumas ir vertinimo kriterijai yra šie:
Didelė rizika:
Apdovanojimai: 1000–2000 juanių vertės pirkinių kortelės arba tokios pat vertės dovanos, įskaitant, bet neapsiribojant:
1. Pažeidžiamumas, kuris tiesiogiai gauna sistemos teises (serverio teises, duomenų bazės teises). Tai apima, bet neapsiriboja nuotolinėmis savavališkomis komandomis
Vykdymas, kodo vykdymas, savavališkas failų įkėlimas norint gauti "Webshell", buferio perpildymas, SQL injekcija sistemos teisėms gauti
Apribojimai, serverio analizės pažeidžiamumas, failų įtraukimo pažeidžiamumas ir kt.
2. Rimti logikos dizaino trūkumai. Tai apima, bet neapsiriboja, prisijungimą naudojant bet kurią paskyrą, bet kurios paskyros slaptažodžio keitimą ir SMS bei el. pašto patvirtinimą
Aplinkkelis.
3. Rimtas slaptos informacijos nutekėjimas. Tai apima, bet neapsiribojant, rimtą SQL injekciją, savavališką failų įtraukimą ir kt.
4. Neteisėta prieiga. Tai apima, bet neapsiriboja, autentifikavimo apėjimą, kad būtų galima tiesiogiai pasiekti foną, silpną foninį prisijungimą, SSH silpną slaptažodį ir kt
Pasak bibliotekos, slaptažodis yra silpnas ir pan.
5. Gaukite vartotojo UCloud vartotojo duomenis arba leidimus per UCloud platformą.
Vidutinis pavojus:
Apdovanojimai: 500–1000 juanių vertės pirkinių kortelės arba tos pačios vertės dovanos, įskaitant, bet neapsiribojant:
1. Pažeidžiamumas, dėl kurio reikia sąveikauti norint gauti vartotojo tapatybės informaciją. Įskaitant saugyklą pagrįstą XSS, be kita ko.
2. Įprasti loginiai dizaino defektai. Įskaitant, bet neapsiribojant, neribotą SMS ir el. laiškų siuntimą.
3. Neorientuotos produktų linijos, išnaudojant sudėtingus SQL injekcijos pažeidžiamumus ir kt.
Maža rizika:
Apdovanojimai: 100–500 juanių vertės pirkinių kortelės arba tokios pat vertės dovanos, įskaitant, bet neapsiribojant:
1. Bendras informacijos nutekėjimo pažeidžiamumas. Tai apima, bet neapsiriboja, kelio nutekėjimas, SVN failo nutekėjimas, LOG failo nutekėjimas,
phpinfo ir kt.
2. Pažeidžiamumas, kurio negalima išnaudoti arba kurį sunku išnaudoti, įskaitant, bet neapsiribojant, atspindintį XSS.
Nepaisyti:
Į šį lygį įeina:
1. Klaidos, nesusijusios su saugumo problemomis. Įskaitant, bet neapsiribojant, gaminio funkcijų defektus, iškraipytus puslapius, stiliaus maišymą ir kt.
2. Pažeidžiamumas, kurio negalima atkurti, arba kitos problemos, kurių negalima tiesiogiai atspindėti. Tai apima, bet neapsiriboja klausimais, kurie yra grynai vartotojo spekuliatyvūs
Klausimas.
Bendrieji vertinimo kriterijų principai:
1. Vertinimo kriterijai taikomi tik visiems UCloud produktams ir paslaugoms. Domenų vardai apima, bet neapsiriboja, *.ucloud.cn, serveris
Apima UCloud valdomus serverius, o produktai yra UCloud išleisti mobilieji produktai.
2. Atlygis už klaidas apsiriboja pažeidžiamumu, pateiktu "UCloud Security Response Center", o ne pateiktais kitose platformose
Taškai.
3. Internete atskleistų pažeidžiamumų pateikimas nebus vertinamas.
4. Įvertinkite anksčiausiai tą patį pažeidžiamumą.
5. Keli pažeidžiamumai iš to paties pažeidžiamumo šaltinio įrašomi tik kaip 1.
6. Jei to paties nuorodos URL yra panašūs pažeidžiamumai, ta pati nuoroda skirsis pagal vieną pažeidžiamumo kreditą
tipas, atlygis bus skiriamas atsižvelgiant į žalos laipsnį.
7. Bendrosios paskirties pažeidžiamumui, kurį sukelia mobiliosios galinės sistemos, pvz., webkit uxss, kodo vykdymas ir kt., pateikiamas tik pirmasis
Pažeidžiamumo pranešėjo atlygis nebebus skaičiuojamas toje pačioje kitų produktų pažeidžiamumo ataskaitoje.
8. Galutinis kiekvieno pažeidžiamumo balas nustatomas visapusiškai įvertinus pažeidžiamumo išnaudojimą, žalos dydį ir poveikio mastą. Tai įmanoma
Pažeidžiamumo taškai su žemu pažeidžiamumo lygiu yra didesni nei pažeidžiamumai su dideliu pažeidžiamumo lygiu.
9. Pranešant apie pažeidžiamumus, prašoma pateikti POC/exploit ir pateikti atitinkamą pažeidžiamumo analizę, kad paspartintų administratorių darbą
Apdorojimo greitis gali būti tiesiogiai paveiktas pažeidžiamumo pateikimų, kurių nepateikia POC ar išnaudojimas arba kurie nėra išsamiai analizuojami
Apdovanojimai.
Premijos mokėjimo procesas:
USRC darbuotojai derėjosi su baltosiomis skrybėlėmis, kada ir kaip dovanos bus paskirstytos.
Ginčų sprendimas :
Jei pranešėjas turi prieštaravimų dėl pažeidžiamumo vertinimo ar pažeidžiamumo vertinimo pažeidžiamumo valdymo proceso metu, laiku susisiekite su administratoriumi
Bendravimas. UCloud saugumo reagavimo į ekstremalias situacijas centras bus viršesnis už pažeidžiamumo žurnalistų interesus ir prireikus tai padarys
Įsteigti išorės institucijas, kurios bendrai priimtų sprendimus.
|
Paskelbta 2015-09-28 00:14:33
|
|
|
