Basisprincipes
1. UCloud hecht groot belang aan de veiligheid van haar producten en activiteiten, en heeft zich altijd ingezet voor het waarborgen van de veiligheid van gebruikers
We kijken ernaar uit om het netwerk van UCloud via het Security Response Center te versterken door nauw samen te werken met individuen, organisaties en bedrijven in de sector
Veiligheidsniveau.
2. UCloud Wij danken de white hat-hackers die hebben bijgedragen aan het beschermen van de belangen van onze gebruikers en het UCloud Security Center hebben verbeterd
en iets teruggeven.
3. UCloud verzet zich tegen en veroordeelt alle kwetsbaarheden die kwetsbaarheidstesten gebruiken als excuus om de belangen van gebruikers te vernietigen en te schaden
Hackactiviteiten, waaronder maar niet beperkt tot het uitbuiten van kwetsbaarheden om gebruikersinformatie te stelen, bedrijfssystemen binnen te dringen, gerelateerde informatie te wijzigen en te stelen
Unified data, kwaadaardige verspreiding van kwetsbaarheden of data. UCloud zal juridische verantwoordelijkheid nemen voor elk van bovenstaande handelingen.
Terugkoppeling en afhandelingsproces voor kwetsbaarheden
1. Dien kwetsbaarheidsinformatie in via e-mail, Weibo of de QQ-groep.
2. Binnen één werkdag zal het USRC-personeel bevestigen dat het kwetsbaarheidsrapport is ontvangen en opvolgen om het probleem te beoordelen.
3. Binnen drie werkdagen zal het USRC-personeel de kwestie aanpakken, een conclusie geven en de toekenning controleren. (Indien nodig, zal het worden gegeven.)
De verslaggever communiceert en bevestigt het, en vraagt de verslaggever om te helpen. )
4. De bedrijfsafdeling lost de kwetsbaarheid op en regelt dat de update online komt, en de reparatietijd hangt af van de ernst van het probleem en de moeilijkheidsgraad van de reparatie.
5. Kwetsbaarheidsmelders beoordelen kwetsbaarheden.
6. Beloningen uitdelen.
Criteria voor scores voor beveiligingskwetsbaarheden
Voor elk kwetsbaarheidsniveau voeren we een uitgebreid onderzoek uit op basis van de technische moeilijkheid van het exploiteren van de kwetsbaarheid en de impact ervan
Overweging, verdeeld in verschillende niveaus, en met bijbehorende punten.
Afhankelijk van het serviceniveau van kwetsbaarheid wordt de mate van kwetsbaarheidsschade verdeeld in vier niveaus: hoog risico, gemiddeld risico, laag risico en genegeerd
De behandelde kwetsbaarheden en de beoordelingscriteria zijn als volgt:
Hoog risico:
Beloningen: Winkelkaarten ter waarde van 1000-2000 yuan of cadeaus van dezelfde waarde, waaronder maar niet beperkt tot:
1. Een kwetsbaarheid die direct systeemrechten verkregen (serverrechten, databaserechten). Dit omvat, maar is niet beperkt tot, willekeurige commando's op afstand
Uitvoering, code-uitvoering, willekeurige bestandsupload om Webshell te krijgen, buffer overflow, SQL-injectie om systeemrechten te krijgen
Beperkingen, serverparsing-kwetsbaarheden, kwetsbaarheden voor bestandsopname, enzovoort.
2. Ernstige ontwerpfouten in de logica. Dit omvat, maar is niet beperkt tot, inloggen met elk account, het wijzigen van het wachtwoord van een account en het verifiëren van sms en e-mail
Bypass.
3. Ernstige lekkage van gevoelige informatie. Dit omvat, maar is niet beperkt tot, serieuze SQL-injectie, willekeurige bestandsopname, enzovoort.
4. Ongeautoriseerde toegang. Dit omvat, maar is niet beperkt tot, het omzeilen van authenticatie om direct toegang te krijgen tot de achtergrond, achtergrondlogin zwak wachtwoord, SSH zwak wachtwoord, enzovoort
Volgens de bibliotheek is het wachtwoord zwak, enzovoort.
5. Verkrijg gebruikersgegevens of -rechten van gebruikers UCloud via het UCloud-platform.
Gemiddeld Gevaar:
Beloningen: Winkelkaarten of cadeaus van dezelfde waarde ter waarde van 500-1000 yuan, waaronder maar niet beperkt tot:
1. Kwetsbaarheden die interactie vereisen om gebruikersidentiteitsinformatie te verkrijgen. Inclusief opslaggebaseerde XSS, onder andere.
2. Ontwerpfouten in gewone logica. Inclusief maar niet beperkt tot onbeperkt sms- en e-mailversturen.
3. Niet-gefocuste productlijnen, het uitbuiten van moeilijke SQL-injectiekwetsbaarheden, enzovoort.
Laag risico:
Beloningen: Winkelkaarten ter waarde van 100-500 yuan of cadeaus van dezelfde waarde, waaronder maar niet beperkt tot:
1. Kwetsbaarheid voor algemene informatielekkwetsbaarheid. Dit omvat, maar is niet beperkt tot, padlek, SVN-bestandslek, LOG-bestandslek,
phpinfo, enzovoort.
2. Kwetsbaarheden die niet kunnen worden uitgebuit of moeilijk te exploiteren, waaronder maar niet beperkt tot reflectieve XSS.
Negeer:
Dit niveau omvat:
1. Bugs die geen beveiligingsproblemen hebben. Inclusief maar niet beperkt tot productfunctiefouten, onverstaanbare pagina's, stijlmix, enzovoort.
2. Kwetsbaarheden die niet kunnen worden gereproduceerd of andere problemen die niet direct kunnen worden weerspiegeld. Dit omvat, maar is niet beperkt tot, vragen die puur door gebruikers specutief zijn
Vraag.
Algemene principes van scorecriteria:
1. De beoordelingscriteria gelden alleen voor alle producten en diensten van UCloud. Domeinnamen omvatten, maar zijn niet beperkt tot, *.ucloud.cn server
Bevat servers die worden beheerd door UCloud, en de producten zijn mobiele producten uitgebracht door UCloud.
2. Bugbeloningen zijn beperkt tot kwetsbaarheden die worden ingediend bij het UCloud Security Response Center, niet op die op andere platforms
Punten.
3. Het indienen van kwetsbaarheden die op het internet zijn gemeld, worden niet beoordeeld.
4. Score voor de vroegste committer van dezelfde kwetsbaarheid.
5. Meerdere kwetsbaarheden van dezelfde bron worden geregistreerd als slechts 1.
6. Voor dezelfde link-URL, als meerdere parameters vergelijkbare kwetsbaarheden hebben, zal dezelfde link verschillend zijn volgens één kwetsbaarheidskrediet
type, wordt de beloning gegeven op basis van de mate van schade.
7. Voor algemene kwetsbaarheden veroorzaakt door mobiele terminalsystemen, zoals webkit uxss, code-uitvoering, enzovoort, wordt alleen de eerste gegeven
Beloningen voor kwetsbaarheidsmelders worden niet langer meegeteld voor hetzelfde kwetsbaarheidsrapport als andere producten.
8. De uiteindelijke score van elke kwetsbaarheid wordt bepaald door de uitgebreide overweging van de kwetsbaarheid, de omvang van de schade en de omvang van de impact. Het is mogelijk
Kwetsbaarheidspunten met lage kwetsbaarheidsniveaus zijn hoger dan kwetsbaarheden met hoge kwetsbaarheidsniveaus.
9. White hats worden gevraagd om POC/exploit te leveren bij het melden van kwetsbaarheden en om bijbehorende kwetsbaarheidsanalyses te leveren om beheerders te versnellen
De verwerkingssnelheid kan direct worden beïnvloed bij kwetsbaarheidsinzendingen die niet door de POC of exploit worden geleverd of niet in detail worden geanalyseerd
Beloningen.
Bonusbetalingsproces:
Het personeel van de USRC onderhandelde met de witte hoeden over wanneer en hoe de geschenken zouden worden verdeeld.
Geschiloplossing:
Als de melder bezwaren heeft tegen de kwetsbaarheidsbeoordeling of kwetsbaarheidsscore tijdens het kwetsbaarheidsafhandelingsproces, neem dan tijdig contact op met de beheerder
Communicatie. Het UCloud Security Emergency Response Center zal voorrang krijgen boven de belangen van kwetsbaarheidsmelders en zal dit indien nodig doen
Externe autoriteiten introduceren om gezamenlijk te beoordelen.
|
Geplaatst op 28-09-2015 00:14:33
|
|
|
