Princípios básicos
1. A UCloud atribui grande importância à segurança de seus produtos e negócios, e sempre esteve comprometida em garantir a segurança dos usuários
Estamos ansiosos para aprimorar a rede da UCloud por meio do Centro de Resposta à Segurança, trabalhando em estreita colaboração com indivíduos, organizações e empresas do setor
Nível de segurança.
2. UCloud Agradecemos aos hackers white hat que ajudaram a proteger os interesses de nossos usuários e a melhorar o Centro de Segurança da UCloud
E retribuir.
3. A UCloud se opõe e condena todas as vulnerabilidades que usam testes de vulnerabilidades como desculpa para destruir e prejudicar os interesses dos usuários
Atividades de hacking, incluindo, mas não se limitando a, explorar vulnerabilidades para roubar informações de usuários, invadir sistemas empresariais, modificar e roubar informações relacionadas
dados unificados, disseminação maliciosa de vulnerabilidades ou dados. A UCloud buscará responsabilidade legal por qualquer um dos atos acima.
Feedback de vulnerabilidades e processo de manuseio
1. Envie informações sobre vulnerabilidades por e-mail, Weibo ou grupo QQ.
2. Em um dia útil, a equipe do USRC confirmará o recebimento do relatório de vulnerabilidade e fará o acompanhamento para começar a avaliar o problema.
3. Em até três dias úteis, a equipe da USRC abordará a questão, apresentará uma conclusão e verificará a concessão. (Se necessário, será concedido.)
O repórter se comunica e confirma, e pede ajuda ao repórter. )
4. O departamento de negócios corrige a vulnerabilidade e organiza a atualização para ser implementada, e o tempo de reparo depende da gravidade do problema e da dificuldade do reparo.
5. Repórteres de vulnerabilidades analisam vulnerabilidades.
6. Distribua recompensas.
Critérios de pontuação de vulnerabilidades de segurança
Para cada nível de vulnerabilidade, realizaremos um exame abrangente baseado na dificuldade técnica de explorar a vulnerabilidade e no impacto da vulnerabilidade
Consideração, dividida em diferentes níveis e com pontos correspondentes.
De acordo com o nível de vulnerabilidade do serviço, o grau de dano à vulnerabilidade é dividido em quatro níveis: alto risco, médio risco, baixo risco e ignorado
As vulnerabilidades abordadas e os critérios de pontuação são os seguintes:
Alto risco:
Recompensas: Cartões de compras no valor de 1000-2000 yuan ou presentes do mesmo valor, incluindo, mas não se limitando a:
1. Uma vulnerabilidade que obtém diretamente privilégios do sistema (privilégios de servidor, privilégios de banco de dados). Isso inclui, mas não se limita a, comandos arbitrários remotos
Execução, execução de código, upload arbitrário de arquivos para obter Webshell, overflow de buffer, injeção SQL para obter direitos de sistema
Limitações, vulnerabilidades na análise de servidores, vulnerabilidades na inclusão de arquivos, etc.
2. Falhas sérias de design lógico. Isso inclui, mas não se limita a, fazer login com qualquer conta, mudar a senha de qualquer conta e verificar SMS e e-mail
Bypass.
3. Vazamento grave de informações sensíveis. Isso inclui, mas não se limita a, injeção séria de SQL, inclusão arbitrária de arquivos, etc.
4. Acesso não autorizado. Isso inclui, mas não se limita a, burlar autenticação para acessar diretamente o segundo plano, login em segundo plano com senha fraca, senha fraca em SSH, etc
De acordo com a biblioteca, a senha é fraca, etc.
5. Obter dados ou permissões do usuário UCloud através da plataforma UCloud.
Perigo Médio:
Recompensas: Cartões de compras ou presentes no valor de 500-1000 yuan do mesmo valor, incluindo, mas não se limitando a:
1. Vulnerabilidades que exigem interação para obter informações de identidade do usuário. Incluindo XSS baseado em armazenamento, entre outros.
2. Defeitos ordinários de design lógico. Incluindo, mas não se limitando a, envio ilimitado de SMS e e-mails.
3. Linhas de produtos não focadas, exploração de vulnerabilidades difíceis de injeção SQL, etc.
Baixo risco:
Recompensas: Cartões de compras no valor de 100-500 yuans ou presentes do mesmo valor, incluindo, mas não se limitando a:
1. Vulnerabilidade geral a vazamento de informações. Isso inclui, mas não se limita a, vazamento de caminho, vazamento de arquivos SVN, vazamento de arquivos LOG,
phpinfo, etc.
2. Vulnerabilidades que não podem ser exploradas ou difíceis de explorar, incluindo, mas não se limitando a, XSS reflexivo.
Ignore:
Este nível inclui:
1. Bugs que não envolvem problemas de segurança. Incluindo, mas não se limitando a, defeitos de função do produto, páginas confusas, mistura de estilos, etc.
2. Vulnerabilidades que não podem ser reproduzidas ou outros problemas que não podem ser diretamente refletidos. Isso inclui, mas não se limita a, perguntas que são puramente especulativas pelo usuário
Pergunta.
Princípios gerais dos critérios de pontuação:
1. Os critérios de pontuação se aplicam apenas a todos os produtos e serviços da UCloud. Nomes de domínio incluem, mas não se limitam a, *.ucloud.cn, servidor
Inclui servidores operados pela UCloud, e os produtos são produtos móveis lançados pela UCloud.
2. As recompensas por bugs são limitadas a vulnerabilidades enviadas no Centro de Resposta de Segurança da UCloud, não às enviadas em outras plataformas
Pontos.
3. Submeter vulnerabilidades que tenham sido divulgadas na Internet não será pontuado.
4. Pontuar para o primeiro cometido com a mesma vulnerabilidade.
5. Múltiplas vulnerabilidades da mesma fonte de vulnerabilidade são registradas como apenas 1.
6. Para a mesma URL de link, se múltiplos parâmetros tiverem vulnerabilidades semelhantes, o mesmo link será diferente de acordo com um crédito de vulnerabilidade
tipo, a recompensa será dada de acordo com o grau de dano.
7. Para vulnerabilidades de uso geral causadas por sistemas de terminais móveis, como webkit uxss, execução de código, etc., apenas a primeira é dada
As recompensas do relator de vulnerabilidades não serão mais contadas para o mesmo relatório de vulnerabilidades de outros produtos.
8. A pontuação final de cada vulnerabilidade é determinada pela consideração abrangente da explorabilidade da vulnerabilidade, do tamanho do dano e do alcance do impacto. É possível
Pontos de vulnerabilidade com baixos níveis de vulnerabilidade são maiores do que vulnerabilidades com altos níveis de vulnerabilidade.
9. White hats são solicitados a fornecer POC/exploit ao relatar vulnerabilidades e fornecer análise correspondente de vulnerabilidades para acelerar os administradores
A velocidade de processamento pode ser diretamente impactada para submissões de vulnerabilidades que não são fornecidas pelo POC ou exploit ou que não são analisadas em detalhes
Recompensas.
Processo de Pagamento Bônus:
A equipe da USRC negociava com os white hats quando e como os presentes seriam distribuídos.
Resolução de Disputas:
Se o relator tiver alguma objeção à avaliação ou pontuação de vulnerabilidades durante o processo de tratamento da vulnerabilidade, entre em contato com o administrador de forma oportuna
Comunicação. O Centro de Resposta a Emergências de Segurança da UCloud terá prioridade sobre os interesses dos relatores de vulnerabilidades e o fará se necessário
Introduzir autoridades externas para julgar conjuntamente.
|
Publicado em 28/09/2015 00:14:33
|
|
|
