Podstawowe zasady
1. UCloud przywiązuje dużą wagę do bezpieczeństwa swoich produktów i działalności oraz zawsze zobowiązuje się do zapewnienia bezpieczeństwa użytkownikom
Z niecierpliwością czekamy na rozwój sieci UCloud poprzez Security Response Center poprzez ścisłą współpracę z osobami, organizacjami i firmami z branży
Poziom bezpieczeństwa.
2. UCloud Dziękujemy hakerom białych kapeluszów, którzy pomogli chronić interesy naszych użytkowników i poprawić UCloud Security Center
i oddawanie czegoś.
3. UCloud sprzeciwia się i potępia wszelkie podatności, które wykorzystują testowanie podatności jako pretekst do niszczenia i szkodzenia interesom użytkowników
Działania hakerskie, w tym między innymi wykorzystywanie luk w celu kradzieży danych użytkowników, włamania do systemów biznesowych, modyfikacji i kradzieży powiązanych danych
Zunifikowane dane, złośliwe rozpowszechnianie luk lub danych. UCloud będzie pociągał za odpowiedzialność prawną za każdy z powyższych czynów.
Proces informacji zwrotnej i obsługi podatności
1. Przesyłaj informacje o podatnościach przez e-mail, Weibo lub grupę QQ.
2. W ciągu jednego dnia roboczego pracownicy USRC potwierdzą otrzymanie raportu o podatności i rozpoczną dalszą ocenę problemu.
3. W ciągu trzech dni roboczych pracownicy USRC zajmą się kwestią, wydadzą wniosek i sprawdzą przyznanie wyroku. (Jeśli zajdzie taka potrzeba, zostanie ona przyznana.)
Reporter komunikuje się i potwierdza, prosząc reportera o pomoc. )
4. Dział biznesowy naprawia lukę i organizuje aktualizację online, a czas naprawy zależy od powagi problemu i trudności naprawy.
5. Zgłaszający podatności przeglądają luki.
6. Rozdawaj nagrody.
Kryteria oceny podatności bezpieczeństwa
Dla każdego poziomu podatności przeprowadzimy kompleksową analizę opartą na technicznej trudności wykorzystania luki oraz jej wpływie
Rozważania, podzielone na różne poziomy i przydzielone im punkty.
Według poziomu obsługi podatności, stopień szkód wywołanych podatnością dzieli się na cztery poziomy: wysokie ryzyko, średnie ryzyko, niskie ryzyko oraz ignorowane
Omówione luki oraz kryteria punktacji są następujące:
Wysokie ryzyko:
Nagrody: Karty zakupowe warte 1000-2000 juanów lub prezenty o tej samej wartości, w tym między innymi:
1. Luka, która bezpośrednio uzyskuje uprawnienia systemowe (uprawnienia serwera, uprawnień bazy danych). Obejmuje to, ale nie ogranicza się do zdalnych, arbitralnych poleceń
Wykonanie, wykonanie kodu, dowolne przesyłanie plików, żeby pobrać Webshell, przepełnienie bufora, wstrzyknięcie SQL do uzyskania praw systemowych
Ograniczenia, luki w analizie serwerów, podatności na dodawanie plików itd.
2. Poważne błędy w projektowaniu logiki. Obejmuje to między innymi logowanie się na dowolne konto, zmianę hasła do dowolnego konta oraz weryfikację SMS-ów i e-maili
Bypass.
3. Poważny wyciek wrażliwych informacji. Obejmuje to, ale nie ogranicza się do, poważnego zastrzyku SQL, arbitralnego dodawania plików itp.
4. Nieautoryzowany dostęp. Obejmuje to, ale nie ogranicza się do omijania uwierzytelniania, aby uzyskać bezpośredni dostęp do tła, logowania w tle, słabego hasła, słabego hasła SSH itd
Według biblioteki hasło jest słabe itd.
5. Uzyskanie danych użytkownika lub uprawnień użytkownika UCloud za pośrednictwem platformy UCloud.
Średnie ryzyko:
Nagrody: karty zakupowe lub prezenty o tej samej wartości 500-1000 juanów, w tym między innymi:
1. Luki wymagające interakcji w celu uzyskania informacji o tożsamości użytkownika. W tym XSS oparte na pamięci masowej i inne.
2. Zwykłe wady konstrukcyjne logiki. Włącznie, ale nie tylko, nieograniczonego wysyłania SMS-ów i e-maili.
3. Nieukierunkowane linie produktów, wykorzystywanie trudnych luk w zastrzykach SQL itp.
Niskie ryzyko:
Nagrody: Karty zakupowe warte 100-500 juanów lub prezenty o tej samej wartości, w tym między innymi:
1. Ogólna podatność na wyciek informacji. Obejmuje to, ale nie ogranicza się do, wycieku ścieżek, wycieku plików SVN, wycieku plików LOG,
phpinfo itd.
2. Luki, których nie można wykorzystać ani które są trudne do wykorzystania, w tym między innymi refleksyjne XSS.
Ignoruj:
Ten poziom obejmuje:
1. Błędy niezwiązane z kwestiami bezpieczeństwa. W tym, ale nie tylko, wady funkcjonalne produktu, zniekształcone strony, mieszanie stylów itd.
2. Podatności, których nie da się odtworzyć, lub inne problemy, których nie da się bezpośrednio odzwierciedlić. Dotyczy to między innymi pytań wyłącznie spekulatywnych dla użytkowników
Pytanie.
Ogólne zasady kryteriów punktacji:
1. Kryteria punktacji dotyczą wyłącznie wszystkich produktów i usług UCloud. Nazwy domen obejmują między innymi serwer *.ucloud.cn
Zawiera serwery obsługiwane przez UCloud, a produkty są mobilnymi wydanymi przez UCloud.
2. Nagrody za błędy ograniczają się do podatności zgłoszonych w UCloud Security Response Center, a nie do tych zgłoszonych na innych platformach
Punkty.
3. Zgłaszanie luk ujawnionych w Internecie nie zostanie ocenione.
4. Punktuj dla najwcześniejszego twórcy tej samej podatności.
5. Wiele podatności z tego samego źródła podatności jest rejestrowane jako tylko 1.
6. Dla tego samego linku URL, jeśli wiele parametrów ma podobne luki, ten sam link będzie się różnił w zależności od jednego kredytu podatności
typ, nagroda będzie przyznawana w zależności od stopnia szkody.
7. W przypadku ogólnych luk spowodowanych mobilnymi systemami terminalowymi, takich jak webkit uxss, wykonywanie kodu itp., podana jest tylko pierwsza
Nagrody za raportowanie podatności nie będą już liczone do tego samego raportu podatności co inne produkty.
8. Ostateczny wynik każdej podatności jest określany na podstawie kompleksowego uwzględnienia podatności na wykorzystanie podatności, wielkości szkody oraz zakresu skutku. To możliwe
Punkty podatności o niskim poziomie podatności są wyższe niż te o wysokim poziomie.
9. Białe kapelusze są proszone o dostarczanie POC/exploitów podczas zgłaszania luk oraz do odpowiedniej analizy podatności, aby przyspieszyć pracę administratorów
Szybkość przetwarzania może być bezpośrednio zakłócona w przypadku zgłaszania podatności, które nie są udostępniane przez POC lub nie są szczegółowo analizowane
Nagrody.
Proces wypłaty premii:
Pracownicy USRC negocjowali z białymi kapeluszami, kiedy i w jaki sposób będą rozdzielane prezenty.
Rozwiązywanie sporów:
Jeśli zgłaszający ma jakiekolwiek zastrzeżenia do oceny podatności lub oceny podatności podczas procesu obsługi podatności, powinien w odpowiednim czasie skontaktować się z administratorem
Komunikacja. Centrum Reagowania Kryzysowego UCloud będzie miało pierwszeństwo przed interesami zgłaszających podatności i zrobi to, jeśli zajdzie taka potrzeba
Wprowadź zewnętrzne organy do wspólnego rozstrzygania.
|
Opublikowano 28.09.2015 00:14:33
|
|
|
