Pamatprincipi
1. UCloud piešķir lielu nozīmi savu produktu un uzņēmējdarbības drošībai un vienmēr ir bijis apņēmies nodrošināt lietotāju drošību
Mēs ceram uzlabot UCloud tīklu, izmantojot Drošības reaģēšanas centru, cieši sadarbojoties ar indivīdiem, organizācijām un nozares uzņēmumiem
Drošības līmenis.
2. UCloud Mēs pateicamies baltās cepures hakeriem, kuri palīdzēja aizsargāt mūsu lietotāju intereses un uzlabot UCloud drošības centru
un atdot.
3. UCloud iebilst un nosoda visas ievainojamības, kurās ievainojamības testēšana tiek izmantota kā attaisnojums, lai iznīcinātu un kaitētu lietotāju interesēm
Uzlaušanas darbības, tostarp, bet ne tikai, ievainojamības izmantošana, lai nozagtu lietotāju informāciju, iebruktu biznesa sistēmās, modificētu un nozagtu saistīto informāciju
Vienoti dati, ievainojamību vai datu ļaunprātīga izplatīšana. UCloud uzņemsies juridisku atbildību par jebkuru no iepriekš minētajām darbībām.
Ievainojamības atgriezeniskā saite un apstrādes process
1. Iesniedziet informāciju par ievainojamību pa e-pastu, Weibo vai QQ grupu.
2. Vienas darba dienas laikā USRC darbinieki apstiprinās ievainojamības ziņojuma saņemšanu un sekos līdzi, lai sāktu problēmas novērtēšanu.
3. Trīs darba dienu laikā USRC darbinieki risinās šo jautājumu, sniegs secinājumu un pārbaudīs balvu. (Ja nepieciešams, tas tiks dots.)
Ziņotājs sazinās un apstiprina, un lūdz ziņotāju palīdzēt. )
4. Biznesa nodaļa novērš ievainojamību un organizē atjauninājumu tiešsaistē, un remonta laiks ir atkarīgs no problēmas smaguma un remonta grūtībām.
5. Ievainojamības ziņotāji pārskata ievainojamību.
6. Sadaliet atlīdzību.
Drošības ievainojamības novērtēšanas kritēriji
Katram ievainojamības līmenim mēs veiksim visaptverošu pārbaudi, pamatojoties uz ievainojamības izmantošanas tehniskajām grūtībām un ievainojamības ietekmi
Apsvērums, sadalīts dažādos līmeņos un dots atbilstošs punkts.
Atkarībā no ievainojamības pakalpojuma līmeņa ievainojamības kaitējuma pakāpe ir sadalīta četros līmeņos: augsts risks, vidējs risks, zems risks un ignorēts
Aptvertās ievainojamības un vērtēšanas kritēriji ir šādi:
Augsts risks:
Balvas: iepirkumu kartes 1000–2000 juaņu vērtībā vai tādas pašas vērtības dāvanas, tostarp, bet ne tikai:
1. Ievainojamība, kas tieši iegūst sistēmas privilēģijas (servera privilēģijas, datu bāzes privilēģijas). Tas ietver, bet neaprobežojas ar attālinātām patvaļīgām komandām
Izpilde, koda izpilde, patvaļīga failu augšupielāde, lai iegūtu Webshell, bufera pārpilde, SQL injekcija, lai iegūtu sistēmas tiesības
Ierobežojumi, servera parsēšanas ievainojamība, failu iekļaušanas ievainojamība utt.
2. Nopietni loģikas dizaina trūkumi. Tas ietver, bet neaprobežojas ar pieteikšanos ar jebkuru kontu, jebkura konta paroles maiņu un SMS un e-pasta pārbaudi
Apvedceļš.
3. Nopietna sensitīvas informācijas noplūde. Tas ietver, bet neaprobežojas ar nopietnu SQL injekciju, patvaļīgu failu iekļaušanu utt.
4. Nesankcionēta piekļuve. Tas ietver, bet neaprobežojas ar autentifikācijas apiešanu, lai tieši piekļūtu fonam, fona pieteikšanās vāja parole, SSH vāja parole utt
Saskaņā ar bibliotēku parole ir vāja utt.
5. Iegūstiet lietotāja UCloud lietotāja datus vai atļaujas, izmantojot UCloud platformu.
Vidēja bīstamība:
Atlīdzība: 500-1000 juaņas vērtas iepirkšanās kartes vai tādas pašas vērtības dāvanas, tostarp, bet ne tikai:
1. Ievainojamība, kas prasa mijiedarbību, lai iegūtu lietotāja identitātes informāciju. Tostarp uz krātuvi balstīts XSS, cita starpā.
2. Parastie loģikas dizaina defekti. Ieskaitot, bet neaprobežojoties ar neierobežotu SMS un e-pasta sūtīšanu.
3. Nefokusētas produktu līnijas, izmantojot sarežģītas SQL injekcijas ievainojamības utt.
Zems risks:
Atlīdzības: iepirkumu kartes 100–500 juaņu vērtībā vai tādas pašas vērtības dāvanas, tostarp, bet ne tikai:
1. Vispārēja informācijas noplūdes ievainojamība. Tas ietver, bet neaprobežojas ar ceļa noplūdi, SVN faila noplūdi, LOG faila noplūdi,
phpinfo utt.
2. Ievainojamības, kuras nevar izmantot vai kuras ir grūti izmantot, tostarp, bet ne tikai, atstarojošs XSS.
Ignorēt:
Šajā līmenī ietilpst:
1. Kļūdas, kas nav saistītas ar drošības jautājumiem. Ieskaitot, bet neaprobežojoties ar produkta funkciju defektiem, izkropļotām lapām, stilu sajaukšanu utt.
2. Ievainojamības, kuras nevar reproducēt, vai citas problēmas, kuras nevar tieši atspoguļot. Tas ietver, bet neaprobežojas ar jautājumiem, kas ir tikai lietotāju spekulatīvi
Jautājums.
Vērtēšanas kritēriju vispārīgie principi:
1. Vērtēšanas kritēriji attiecas tikai uz visiem UCloud produktiem un pakalpojumiem. Domēna vārdi ietver, bet neaprobežojas ar *.ucloud.cn, serveri
Ietver serverus, ko pārvalda UCloud, un produkti ir mobilie produkti, ko izlaidis UCloud.
2. Kļūdu atlīdzība ir ierobežota ar ievainojamību, kas iesniegta UCloud drošības reaģēšanas centrā, nevis tām, kas iesniegtas citās platformās
Punkti.
3. Internetā atklāto ievainojamību iesniegšana netiks vērtēta.
4. Vērtējiet tās pašas ievainojamības agrāko izdarītāju.
5. Vairākas ievainojamības no viena un tā paša ievainojamības avota tiek reģistrētas tikai kā 1.
6. Ja vienam un tam pašam saites URL ir līdzīgas ievainojamības, viena un tā pati saite atšķirsies atkarībā no viena ievainojamības kredīta
veids, atlīdzība tiks piešķirta atbilstoši kaitējuma pakāpei.
7. Attiecībā uz universālām ievainojamībām, ko izraisa mobilās termināļa sistēmas, piemēram, webkit uxss, koda izpilde utt., Tiek dota tikai pirmā
Atlīdzība par ievainojamības ziņotāju vairs netiks ieskaitīta tajā pašā citu produktu ievainojamības pārskatā.
8. Katras ievainojamības galīgo punktu nosaka, visaptveroši izvērtējot ievainojamības izmantojamību, kaitējuma apmēru un ietekmes apjomu. Tas ir iespējams
Ievainojamības punkti ar zemu ievainojamības līmeni ir augstāki nekā ievainojamības punkti ar augstu ievainojamības līmeni.
9. Baltās cepures tiek lūgtas sniegt POC/exploit, ziņojot par ievainojamību, un sniegt atbilstošu ievainojamības analīzi, lai paātrinātu administratoru darbu
Apstrādes ātrumu var tieši ietekmēt ievainojamības iesniegumi, kurus nenodrošina POC vai ekspluatācija vai kuri netiek detalizēti analizēti
Atlīdzība.
Bonusa izmaksas process:
USRC darbinieki sarunājās ar baltajām cepurēm, kad un kā dāvanas tiks sadalītas.
Strīdu risināšana :
Ja ziņotājam ir iebildumi pret ievainojamības novērtējumu vai ievainojamības novērtēšanu ievainojamības novēršanas procesā, savlaicīgi sazinieties ar administratoru
Komunikācija. UCloud drošības ārkārtas reaģēšanas centrs būs prioritārs pār ievainojamības ziņotāju interesēm un to darīs, ja nepieciešams.
Ieviest ārējās iestādes, lai kopīgi spriestu.
|
Publicēts 28.09.2015 00:14:33
|
|
|
