Principii de bază
1. UCloud acordă o mare importanță securității produselor și afacerii sale și a fost întotdeauna dedicată asigurării siguranței utilizatorilor
Așteptăm cu interes să îmbunătățim rețeaua UCloud prin Security Response Center, colaborând strâns cu indivizi, organizații și companii din industrie
Nivelul de siguranță.
2. UCloud Mulțumim hackerilor white hat care au ajutat la protejarea intereselor utilizatorilor noștri și la îmbunătățirea Centrului de Securitate UCloud
și să dai înapoi.
3. UCloud se opune și condamnă toate vulnerabilitățile care folosesc testarea vulnerabilităților ca pretext pentru a distruge și a afecta interesele utilizatorilor
Activități de hacking, inclusiv, dar fără a se limita la, exploatarea vulnerabilităților pentru a fura informații ale utilizatorilor, a invada sistemele de afaceri, a modifica și a fura informații conexe
Date unificate, diseminare malițioasă a vulnerabilităților sau datelor. UCloud își va asuma responsabilitatea legală pentru oricare dintre faptele de mai sus.
Procesul de feedback și gestionare a vulnerabilităților
1. Trimiteți informații despre vulnerabilități prin email, Weibo sau grup QQ.
2. În termen de o zi lucrătoare, personalul USRC va confirma primirea raportului de vulnerabilitate și va face un follow-up pentru a începe evaluarea problemei.
3. În termen de trei zile lucrătoare, personalul USRC va aborda problema, va da o concluzie și va verifica acordul. (Dacă va fi necesar, va fi oferit.)
Reporterul comunică și confirmă, iar reporterul îi cere ajutorul. )
4. Departamentul de afaceri corectează vulnerabilitatea și aranjează actualizarea să fie implementată, iar timpul de reparație depinde de gravitatea problemei și de dificultatea reparației.
5. Raportorii de vulnerabilități analizează vulnerabilitățile.
6. Distribuiți recompense.
Criterii de evaluare a vulnerabilităților de securitate
Pentru fiecare nivel de vulnerabilitate, vom efectua o examinare cuprinzătoare bazată pe dificultatea tehnică de exploatare a vulnerabilității și impactul acesteia
Considerația, împărțită în diferite niveluri și cu puncte corespunzătoare.
În funcție de nivelul de vulnerabilitate al serviciului, gradul de prejudiciu al vulnerabilității este împărțit în patru niveluri: risc ridicat, risc mediu, risc scăzut și ignorat
Vulnerabilitățile acoperite și criteriile de punctare sunt următoarele:
Risc ridicat:
Recompense: Carduri de cumpărături în valoare de 1000-2000 yuani sau cadouri de aceeași valoare, inclusiv, dar fără a se limita la:
1. O vulnerabilitate care obține direct privilegii de sistem (privilegii de server, privilegii de bază de date). Aceasta include, dar nu se limitează la, comenzi arbitrare la distanță
Execuție, execuție de cod, încărcare arbitrară de fișiere pentru a obține Webshell, overflow de buffer, injecție SQL pentru a obține drepturi de sistem
Limitări, vulnerabilități la parsing al serverelor, vulnerabilități la includerea fișierelor etc.
2. Defecte serioase de design logic. Aceasta include, dar nu se limitează la, autentificarea cu orice cont, schimbarea parolei oricărui cont și verificarea SMS și emailului
Ocolește.
3. Scurgere serioasă de informații sensibile. Aceasta include, dar nu se limitează la, injecție SQL serioasă, includere arbitrară de fișiere etc.
4. Acces neautorizat. Aceasta include, dar nu se limitează la, ocolirea autentificării pentru a accesa direct fundalul, parola slabă pentru autentificarea în fundal, parola slabă SSH etc
Conform bibliotecii, parola este slabă, etc.
5. Obținerea datelor sau permisiunilor utilizatorului UCloud prin platforma UCloud.
Pericol mediu:
Recompense: carduri de cumpărături sau cadouri de aceeași valoare în valoare de 500-1000 yuani, inclusiv, dar fără a se limita la:
1. Vulnerabilități care necesită interacțiune pentru a obține informații despre identitatea utilizatorului. Inclusiv XSS bazat pe stocare, printre altele.
2. Defecte obișnuite de proiectare logică. Inclusiv, dar fără a se limita la, trimiterea nelimitată de SMS și emailuri.
3. Linii de produse nefocusate, exploatarea vulnerabilităților dificile de injecție SQL etc.
Risc scăzut:
Recompense: Carduri de cumpărături în valoare de 100-500 yuani sau cadouri de aceeași valoare, inclusiv, dar fără a se limita la:
1. Vulnerabilitate generală la scurgeri de informații. Aceasta include, dar nu se limitează la, pierderea de căi, scurgere de fișiere SVN, scurgere de fișiere LOG,
phpinfo, etc.
2. Vulnerabilități care nu pot fi exploatate sau dificil de exploatat, inclusiv, dar fără a se limita la XSS reflectiv.
Ignoră:
Acest nivel include:
1. Erori care nu implică probleme de securitate. Inclusiv, dar fără a se limita la, defecte de funcționare ale produsului, pagini distorsionate, amestecuri de stil etc.
2. Vulnerabilități care nu pot fi reproduse sau alte probleme care nu pot fi reflectate direct. Aceasta include, dar nu se limitează la, întrebări care sunt pur speculative ale utilizatorului
Întrebare.
Principii generale ale criteriilor de punctare:
1. Criteriile de notare se aplică doar tuturor produselor și serviciilor UCloud. Numele de domenii includ, dar nu se limitează la, *.ucloud.cn, server
Include servere operate de UCloud, iar produsele sunt produse mobile lansate de UCloud.
2. Recompensele pentru bug-uri sunt limitate la vulnerabilitățile transmise în UCloud Security Response Center, nu la cele trimise pe alte platforme
Puncte.
3. Trimiterea vulnerabilităților care au fost dezvăluite pe Internet nu va fi evaluată.
4. Punctaj pentru cel mai timpuriu care a comis aceeași vulnerabilitate.
5. Multiple vulnerabilități din aceeași sursă de vulnerabilitate sunt înregistrate ca doar 1.
6. Pentru același URL al linkului, dacă mai mulți parametri au vulnerabilități similare, același link va fi diferit conform unui credit de vulnerabilitate
Tipul, recompensa va fi acordată în funcție de gradul de vătămare.
7. Pentru vulnerabilitățile cu scop general cauzate de sistemele terminale mobile, cum ar fi webkit uxss, execuția codului etc., este menționată doar prima
Recompensele raportatorilor de vulnerabilități nu vor mai fi luate în calcul pentru același raport de vulnerabilitate ca și alte produse.
8. Scorul final al fiecărei vulnerabilități este determinat de luarea în considerare cuprinzătoare a exploatabilității vulnerabilității, a dimensiunii prejudiciului și a amploării impactului. E posibil
Punctele de vulnerabilitate cu niveluri scăzute de vulnerabilitate sunt mai mari decât cele cu niveluri ridicate.
9. White hat-urile sunt solicitate să furnizeze POC/exploit atunci când raportează vulnerabilități și să ofere analize corespunzătoare ale vulnerabilităților pentru a accelera administratorii
Viteza de procesare poate fi afectată direct pentru trimiterea vulnerabilităților care nu sunt furnizate de POC sau exploatare sau care nu sunt analizate în detaliu
Recompense.
Procesul de plată bonus:
Personalul USRC negocia cu white hats când și cum urmau să fie distribuite cadourile.
Soluționarea disputelor:
Dacă raportatorul are obiecții legate de evaluarea vulnerabilității sau de evaluarea vulnerabilităților în timpul procesului de gestionare a vulnerabilităților, contactați administratorul în timp util
Comunicare. Centrul de Răspuns la Urgențe de Securitate UCloud va avea prioritate față de interesele reporterilor de vulnerabilități și va face acest lucru dacă este necesar
Introducerea autorităților externe pentru a judeca împreună.
|
Postat pe 28.09.2015 00:14:33
|
|
|
