Основные принципы
1. UCloud придаёт большое значение безопасности своих продуктов и бизнеса и всегда стремился обеспечить безопасность пользователей
Мы с нетерпением ждём возможности расширить сеть UCloud через Security Response Center, тесно сотрудничая с отдельными лицами, организациями и компаниями отрасли
Уровень безопасности.
2. UCloud Мы благодарим хакеров-белых шляп, которые помогли защитить интересы наших пользователей и улучшить Центр безопасности UCloud
и отдавать должное.
3. UCloud выступает против и осуждает все уязвимости, которые используют тестирование уязвимостей как оправдание для разрушения и вреда интересам пользователей
Хакерские действия, включая, но не ограничиваясь, эксплуатацией уязвимостей для кражи пользовательской информации, вторжения в бизнес-системы, модификации и кражи связанной информации
Унифицированные данные, вредоносное распространение уязвимостей или данных. UCloud привлечёт к себе юридическую ответственность за любое из вышеуказанных действий.
Процесс обратной связи и обработки уязвимостей
1. Отправляйте информацию о уязвимости через электронную почту, Weibo или QQ group.
2. В течение одного рабочего дня сотрудники USRC подтвердит получение отчёта об уязвимости и начнут оценку проблемы.
3. В течение трёх рабочих дней сотрудники USRC рассмотрят вопрос, вынесут выводы и проверят награждение. (Если потребуется, он будет вручён.)
Репортёр общается, подтверждает и просит репортёра помочь. )
4. Бизнес-отдел устраняет уязвимость и организует обновление для выхода в онлайн, а время ремонта зависит от серьёзности проблемы и сложности ремонта.
5. Репортёры по уязвимостям проверяют уязвимости.
6. Распределяйте награды.
Критерии оценки уязвимостей безопасности
Для каждого уровня уязвимости мы проведём комплексное обследование, основанное на технической сложности эксплуатации уязвимости и её влиянии
Рассмотрение, разделённое на разные уровни и с соответствующими баллами.
В зависимости от уровня уязвимости сервиса степень вреда от уязвимости делится на четыре уровня: высокий риск, средний риск, низкий риск и игнорируемый
Рассматриваемые уязвимости и критерии оценки следующие:
Высокий риск:
Награды: Карты на сумму от 1000 до 2000 юаней или подарки той же стоимости, включая, но не ограничиваясь:
1. Уязвимость, которая напрямую получает системные права (серверные привилегии, права базы данных). Это включает, но не ограничивается, удалённые произвольные команды
Выполнение, выполнение кода, произвольная загрузка файлов для получения Webshell, переполнение буфера, инъекция SQL для получения системных прав
Ограничения, уязвимости при парсинге серверов, наличие файлов и т.д.
2. Серьёзные недостатки в логике. Это включает, но не ограничивается, входом с любой аккаунтной записью, изменением пароля от любого аккаунта и подтверждением SMS и электронной почты
Обход.
3. Серьёзная утечка конфиденциальной информации. Это включает, но не ограничивается, серьёзными SQL-инъекциями, произвольным включением файлов и т.д.
4. Несанкционированный доступ. Это включает, но не ограничивается, обходом аутентификации для прямого доступа к фону, фоновым входом, слабым паролем, слабым паролем SSH и т.д.
Согласно данным библиотеки, пароль слабый и так далее.
5. Получить пользовательские данные или разрешения пользователя UCloud через платформу UCloud.
Средняя опасность:
Награды: карты или подарки на сумму от 500 до 1000 юаней той же стоимости, включая, но не ограничиваясь:
1. Уязвимости, требующие взаимодействия для получения идентификационной информации пользователя. Включая XSS на базе хранения и другие.
2. Обычные дефекты логического проектирования. Включая, но не ограничиваясь, неограниченными отправками SMS и электронной почты.
3. Неориентированные продуктовые линии, эксплуатация сложных уязвимостей SQL-инъекций и т.д.
Низкий риск:
Награды: Карты на сумму от 100 до 500 юаней или подарки той же стоимости, включая, но не ограничиваясь:
1. Общая уязвимость к утечке информации. Это включает, но не ограничивается, утечкой пути, утечкой файлов SVN, утечкой файлов LOG,
phpinfo и так далее.
2. Уязвимости, которые нельзя использовать или которые трудно эксплуатировать, включая, но не ограничиваясь, отражающим XSS.
Игнорировать:
Этот уровень включает:
1. Баги, не связанные с безопасностью. Включая, но не ограничиваясь, дефектами функций продукта, искажёнными страницами, смешиванием стилей и т.д.
2. Уязвимости, которые невозможно воспроизведать, или другие проблемы, которые нельзя напрямую отразить. Это включает, но не ограничивается, вопросами, которые являются исключительно предположениями пользователей
Вопрос.
Общие принципы критериев оценки:
1. Критерии оценки применяются только ко всем продуктам и услугам UCloud. Доменные имена включают, но не ограничиваются, *.ucloud.cn, сервер
Включает серверы, управляемые UCloud, а эти продукты — мобильные продукты, выпущенные UCloud.
2. Вознаграждения за ошибки ограничиваются уязвимостями, размещенными в Центре реагирования безопасности UCloud, а не теми, что размещены на других платформах
Очки.
3. Отправка уязвимостей, раскрытых в Интернете, не будет оцениваться.
4. Оценка для самого раннего коммиттера такой же уязвимости.
5. Несколько уязвимостей из одного источника фиксируются только как 1.
6. Для одного и того же URL ссылки, если несколько параметров имеют схожие уязвимости, одна и та же ссылка будет отличаться в зависимости от одного кредита уязвимости
тип — награда будет присуждена в зависимости от степени вреда.
7. Для универсальных уязвимостей, вызванных мобильными терминальными системами, такими как webkit uxss, выполнение кода и т.д., указывается только первая
Вознаграждения за отчеты о уязвимости больше не будут учитываться в том же отчёте о уязвимости, что и другие продукты.
8. Итоговая оценка каждой уязвимости определяется на основе всестороннего рассмотрения уязвимости, размера вреда и масштаба воздействия. Возможно
Точки уязвимости с низким уровнем уязвимости выше, чем уязвимости с высоким уровнем уязвимости.
9. Запрашиваются белые шляпы для предоставления POC/эксплойтов при сообщении о уязвимостях и соответствующего анализа уязвимостей для ускорения работы администраторов
Скорость обработки может быть напрямую затронута при подаче уязвимостей, которые не предоставляются POC или эксплойтами, либо не проанализированы подробно
Награды.
Процесс выплаты бонусов:
Сотрудники USRC вели переговоры с белыми шляпами, когда и как будут распределены подарки.
Разрешение споров:
Если у докладчика возникнут возражения против оценки или оценки уязвимостей в процессе обработки уязвимостей, своевременно свяжитесь с администратором
Общение. Центр экстренного реагирования на безопасность UCloud будет иметь приоритет над интересами специалистов по выявлению уязвимостей и при необходимости будет делать это
Ввести внешние органы для совместного рассмотрения решений.
|
Опубликовано 28.09.2015 0:14:33
|
|
|
