Základné princípy
1. UCloud prikladá veľký dôraz bezpečnosti svojich produktov a podnikania a vždy sa zaviazal zabezpečiť bezpečnosť používateľov
Tešíme sa na zlepšenie siete UCloud prostredníctvom Security Response Center úzkou spoluprácou s jednotlivcami, organizáciami a firmami v odvetví
Úroveň bezpečnosti.
2. UCloud Ďakujeme hackerom s bielym klobúkom, ktorí pomohli chrániť záujmy našich používateľov a zlepšiť bezpečnostné centrum UCloud
A vracia to späť.
3. UCloud odmieta a odsudzuje všetky zraniteľnosti, ktoré používajú testovanie zraniteľností ako zámienku na ničenie a poškodzovanie záujmov používateľov
Hackerské aktivity, vrátane, ale nielen, zneužívania zraniteľností na krádež používateľských informácií, napádanie obchodných systémov, modifikáciu a krádež súvisiacich informácií
Zjednotené dáta, škodlivé šírenie zraniteľností alebo dát. UCloud bude presadzovať právnu zodpovednosť za ktorýkoľvek z vyššie uvedených činov.
Proces spätnej väzby a spracovania zraniteľností
1. Odosielať informácie o zraniteľnosti e-mailom, Weibo alebo QQ skupinou.
2. Do jedného pracovného dňa zamestnanci USRC potvrdia prijatie správy o zraniteľnosti a následne začnú posudzovať situáciu.
3. Do troch pracovných dní sa zamestnanci USRC zaoberú otázkou, vydajú záver a skontrolujú ocenenie. (Ak bude potrebné, bude udelený.)
Reportér komunikuje, potvrdzuje a žiada reportéra o pomoc. )
4. Obchodné oddelenie opraví zraniteľnosť a zabezpečí aktualizáciu online, pričom čas opravy závisí od závažnosti problému a náročnosti opravy.
5. Reportéri zraniteľností prehodnocujú zraniteľnosti.
6. Rozdeľujte odmeny.
Kritériá hodnotenia bezpečnostných zraniteľností
Pre každú úroveň zraniteľnosti vykonáme komplexné preskúmanie založené na technickej náročnosti zneužitia zraniteľnosti a jej dopade
Úvahy, rozdelené do rôznych úrovní a pridelené príslušné body.
Podľa úrovne služby zraniteľnosti sa stupeň poškodenia zraniteľnosti delí do štyroch úrovní: vysoké riziko, stredné riziko, nízke riziko a ignorované
Pokryté zraniteľnosti a hodnotiace kritériá sú nasledovné:
Vysoké riziko:
Odmeny: Nákupné karty v hodnote 1000-2000 jüanov alebo darčeky rovnakej hodnoty, vrátane, ale nielen:
1. Zraniteľnosť, ktorá priamo získava systémové oprávnenia (serverové práva, databázové privilégiá). To zahŕňa, ale nie je obmedzené na vzdialené ľubovoľné príkazy
Vykonávanie, vykonávanie kódu, ľubovoľné nahrávanie súborov na získanie Webshellu, buffer overflow, SQL injekcia na získanie systémových práv
Obmedzenia, zraniteľnosti pri analýze servera, zraniteľnosti pri začlenení súborov a podobne.
2. Vážne logické chyby v dizajne. To zahŕňa, ale nie je obmedzené na prihlásenie s akýmkoľvek účtom, zmenu hesla k akémukoľvek účtu a overenie SMS a e-mailu
Obchádzka.
3. Vážny únik citlivých informácií. To zahŕňa, ale nie je obmedzené na, vážne SQL injekcie, ľubovoľné zaradenie súborov a podobne.
4. Neoprávnený prístup. To zahŕňa, ale nie je obmedzené na obchádzanie autentifikácie na priamy prístup na pozadie, prihlasovanie na pozadí, slabé heslo na pozadí, slabé heslo pre SSH a podobne
Podľa knižnice je heslo slabé a podobne.
5. Získať používateľské údaje alebo oprávnenia používateľa UCloud prostredníctvom platformy UCloud.
Stredné nebezpečenstvo:
Odmeny: nákupné karty alebo darčeky rovnakej hodnoty v hodnote 500-1000 jüanov, vrátane, ale nielen:
1. Zraniteľnosti, ktoré vyžadujú interakciu na získanie informácií o identite používateľa. Vrátane XSS založeného na úložisku a ďalších.
2. Bežné logické chyby v návrhu. Vrátane, ale nielen, neobmedzeného posielania SMS a e-mailov.
3. Nezamerané produktové rady, zneužívanie zraniteľností náročných SQL injekcií a podobne.
Nízke riziko:
Odmeny: Nákupné karty v hodnote 100-500 jüanov alebo darčeky rovnakej hodnoty, vrátane, ale nielen:
1. Všeobecná zraniteľnosť pred únikom informácií. To zahŕňa, ale nie je obmedzené na, únik ciest, únik SVN súboru, únik LOG súboru,
phpinfo a podobne.
2. Zraniteľnosti, ktoré nie je možné využiť alebo je ťažké zneužiť, vrátane, ale nielen, reflexívneho XSS.
Ignorovať:
Táto úroveň zahŕňa:
1. Chyby, ktoré nezahŕňajú bezpečnostné problémy. Vrátane, ale nielen, chýb produktovej funkcie, nezrozumiteľných stránok, miešania štýlov a podobne.
2. Zraniteľnosti, ktoré nie je možné reprodukovať, alebo iné problémy, ktoré sa nedajú priamo odraziť. To zahŕňa, ale nie je obmedzené na otázky, ktoré sú čisto špekulatívne pre používateľov
Otázka.
Všeobecné princípy hodnotiacich kritérií:
1. Kritériá hodnotenia platia len pre všetky produkty a služby UCloud. Doménové mená zahŕňajú, ale nie sú obmedzené na, server *.ucloud.cn
Obsahuje servery prevádzkované spoločnosťou UCloud a produkty sú mobilné produkty vydané spoločnosťou UCloud.
2. Odmeny za chyby sú obmedzené na zraniteľnosti nahlásené na UCloud Security Response Center, nie na iných platformách
Body.
3. Podávanie zraniteľností, ktoré boli zverejnené na internete, nebude hodnotené.
4. Skóre pre najskoršieho páchateľa tej istej zraniteľnosti.
5. Viaceré zraniteľnosti z toho istého zdroja zraniteľnosti sú zaznamenané len ako 1.
6. Pre rovnakú URL linku, ak má viacero parametrov podobné zraniteľnosti, ten istý odkaz sa bude líšiť podľa jedného kreditu zraniteľnosti
typ, odmena bude udelená podľa miery ujmy.
7. Pre všeobecné zraniteľnosti spôsobené mobilnými terminálovými systémami, ako je webkit uxss, vykonávanie kódu a pod., je uvedená iba prvá
Odmeny za reportéra zraniteľností už nebudú započítavané do rovnakého reportu zraniteľností ako iné produkty.
8. Konečné skóre každej zraniteľnosti je určené komplexným zvážením zraniteľnosti, veľkosti škody a rozsahu dopadu. Je to možné
Zraniteľné body s nízkou úrovňou zraniteľnosti sú vyššie ako zraniteľnosti s vysokou úrovňou zraniteľnosti.
9. Biele klobúky sú požiadané, aby poskytli POC/exploit pri hlásení zraniteľností a poskytli zodpovedajúcu analýzu zraniteľností na zrýchlenie administrátorov
Rýchlosť spracovania môže byť priamo ovplyvnená pri podávaní zraniteľností, ktoré nie sú poskytnuté POC alebo sú zneužité, alebo nie sú podrobne analyzované
Odmeny.
Proces vyplácania bonusov:
Zamestnanci USRC rokovali s bielymi klobúkmi, kedy a ako budú dary rozdelené.
Riešenie sporov:
Ak má oznamovateľ akékoľvek námietky voči hodnoteniu zraniteľností alebo skórovaniu zraniteľností počas procesu spracovania zraniteľností, kontaktujte administrátora včas
Komunikácia. Centrum bezpečnostnej núdzovej reakcie UCloud bude mať prednosť pred záujmami oznamovateľov zraniteľností a bude tak robiť v prípade potreby
Zaviesť externé orgány na spoločné rozhodovanie.
|
Zverejnené 28. 9. 2015 0:14:33
|
|
|
