Ta članek je zrcalni članek strojnega prevajanja, kliknite tukaj za skok na izvirni članek.

Architect_Programmer_Code Kmetijska mreža»Arhitekt Druge tehnologije Varen napad in obramba Postopek obravnave ranljivosti UCloud in podrobnosti o nagrajevanju
Pogled: 12750|Odgovoriti: 0

[Varnostna ranljivost] Postopek obravnave ranljivosti UCloud in podrobnosti o nagrajevanju

[Kopiraj povezavo]
Objavljeno na 28. 09. 2015 00:14:33 | | |
Osnovna načela
1. UCloud pripisuje velik pomen varnosti svojih izdelkov in poslovanja ter je vedno zavezan zagotavljanju varnosti uporabnikov
    Veselimo se izboljšanja omrežja UCloud prek Centra za odziv na varnost z tesnim sodelovanjem z posamezniki, organizacijami in podjetji v industriji
    Stopnja varnosti.
2. UCloud Zahvaljujemo se white hat hekerjem, ki so pomagali zaščititi interese naših uporabnikov in izboljšali UCloud Security Center
    in vračanje.
3. UCloud nasprotuje in obsoja vse ranljivosti, ki uporabljajo testiranje ranljivosti kot izgovor za uničevanje in škodovanje interesom uporabnikov
    Hekerske dejavnosti, vključno, a ne omejeno na izkoriščanje ranljivosti za krajo uporabniških podatkov, vdor v poslovne sisteme, spreminjanje in krajo povezanih informacij
    združeni podatki, zlonamerno razširjanje ranljivosti ali podatkov. UCloud bo prevzel pravno odgovornost za katero koli od zgoraj navedenih dejanj.
Proces povratnih informacij in obravnave ranljivosti
1. Pošiljanje informacij o ranljivostih preko e-pošte, Weiba ali QQ skupine.
2. V enem delovnem dnevu bo osebje USRC potrdilo prejem poročila o ranljivosti in nadaljevalo z ocenjevanjem težave.
3. V treh delovnih dneh bo osebje USRC obravnavalo zadevo, podalo zaključek in preverilo nagrado. (Če bo potrebno, bo dodeljena.)
    Novinar komunicira in potrdi ter prosi novinarja za pomoč. )
4. Poslovni oddelek odpravi ranljivost in uredi, da posodobitev preide na splet, čas popravila pa je odvisen od resnosti težave in zahtevnosti popravila.
5. Prijavitelji ranljivosti pregledujejo ranljivosti.
6. Razdeli nagrade.

Merila za ocenjevanje varnostnih ranljivosti
Za vsako stopnjo ranljivosti bomo izvedli celovit pregled, ki temelji na tehnični zahtevnosti izkoriščanja ranljivosti in njenem vplivu
Razmislek, razdeljen na različne ravni in dodeljen ustreznim točkam.
Glede na raven ranljivosti storitev je stopnja ranljivosti razdeljena na štiri ravni: visoko tveganje, srednje tveganje, nizko tveganje in prezrto
Zajete ranljivosti in kriteriji za ocenjevanje so naslednji:
Visoko tveganje:
Nagrade: Nakupovalne kartice v vrednosti 1000-2000 juanov ali darila enake vrednosti, vključno, a ne omejeno na:
1. Ranljivost, ki neposredno pridobi sistemske privilegije (strežniška pravica, privilegija podatkovne baze). To vključuje, vendar ni omejeno na, oddaljene arbitrarne ukaze
    Izvajanje, izvajanje kode, poljubno nalaganje datotek za Webshell, prelivanje medpomnilnika, SQL injekcija za sistemske pravice
    Omejitve, ranljivosti pri razčlenjevanju strežnikov, ranljivosti pri vključevanju datotek itd.
2. Resne napake v logični zasnova. To vključuje, vendar ni omejeno na prijavo z katerimkoli računom, spremembo gesla za kateri koli račun ter preverjanje SMS in e-pošte
    Obvod.
3. Resno uhajanje občutljivih informacij. To vključuje, a ni omejeno na, resno SQL injekcijo, arbitrarno vključevanje datotek itd.

4. Nepooblaščen dostop. To vključuje, vendar ni omejeno na obhod avtentikacije za neposreden dostop do ozadja, prijavo v ozadje, šibko geslo, šibko geslo za SSH itd
    Po podatkih knjižnice je geslo šibko itd.
5. Pridobivanje uporabniških podatkov ali dovoljenj uporabnikov UCloud preko platforme UCloud.
Srednja nevarnost:
Nagrade: nakupovalne kartice ali darila enake vrednosti v vrednosti 500-1000 juanov, vključno, a ne omejeno na:
1. Ranljivosti, ki zahtevajo interakcijo za pridobitev informacij o identiteti uporabnika. Vključno z XSS, ki temelji na shranjevanju, in drugimi.
2. Običajne napake pri logičnem načrtovanju. Vključno, a ne omejeno na neomejeno pošiljanje SMS-ov in e-pošte.
3. Neosredotočene produktne linije, izkoriščanje zahtevnih SQL injekcijskih ranljivosti itd.

Nizko tveganje:
Nagrade: Nakupovalne kartice v vrednosti 100-500 juanov ali darila iste vrednosti, vključno, a ne omejeno na:
1. Ranljivost zaradi splošnega uhajanja informacij. To vključuje, vendar ni omejeno na uhajanje poti, uhajanje datotek SVN, uhajanje datotek LOG,
    phpinfo itd.
2. Ranljivosti, ki jih ni mogoče izkoristiti ali jih je težko izkoristiti, vključno, a ne omejeno na reflektivni XSS.
Ignoriraj:
Ta raven vključuje:
1. Hrošči, ki ne vključujejo varnostnih težav. Vključno, a ne omejeno na, napake v funkcijah izdelka, zmedene strani, mešanje slogov itd.
2. Ranljivosti, ki jih ni mogoče reproducirati, ali druge težave, ki jih ni mogoče neposredno odražati. To vključuje, vendar ni omejeno na vprašanja, ki so povsem špekulativna glede uporabnikov
    Vprašanje.

Splošna načela ocenjevanja:
1. Merila za ocenjevanje veljajo le za vse izdelke in storitve UCloud. Domenska imena vključujejo, vendar niso omejena na, *.ucloud.cn, strežnik
    Vključuje strežnike, ki jih upravlja UCloud, izdelki pa so mobilni izdelki, ki jih je izdal UCloud.
2. Nagrade za napake so omejene na ranljivosti, prijavljene v UCloud Security Response Center, ne pa na drugih platformah
    Točke.
3. Oddaja ranljivosti, ki so bile razkrite na internetu, ne bo ocenjena.
4. Ocena za najzgodnejšega izvajalca iste ranljivosti.
5. Več ranljivosti iz istega vira ranljivosti je zabeleženih le kot 1.
6. Za isti URL povezave, če ima več parametrov podobne ranljivosti, bo ista povezava različna glede na eno ranljivostno priznanje
    tip, nagrada bo podeljena glede na stopnjo škode.
7. Za splošne ranljivosti, ki jih povzročajo mobilni terminalski sistemi, kot so webkit uxss, izvajanje kode itd., je navedena le prva
    Nagrade za prijavitelje ranljivosti ne bodo več štete za isto poročilo o ranljivosti kot pri drugih izdelkih.

8. Končna ocena vsake ranljivosti je določena s celovitim upoštevanjem izkoriščenosti ranljivosti, velikosti škode in obsega vpliva. Možno je
    Točke ranljivosti z nizko stopnjo ranljivosti so višje kot ranljivosti z visoko stopnjo ranljivosti.
9. White hati so pozvani, da zagotovijo POC/izkoriščanje ranljivosti pri prijavljanju ranljivosti in ustrezno analizo ranljivosti za pospešitev skrbnikov
    Hitrost obdelave je lahko neposredno prizadeta pri prijavi ranljivosti, ki jih ni zagotovil POC ali izkoriščanje ali niso podrobno analizirane
    Nagrade.

Postopek izplačila bonusov:
Osebje USRC je z belimi klobuki pogajalo, kdaj in kako bodo darila razdeljena.
Reševanje sporov:
Če ima prijavitelj kakršnekoli pomisleke glede ocene ranljivosti ali ocenjevanja ranljivosti med postopkom obravnave ranljivosti, naj pravočasno kontaktira administratorja
Komunikacija. Center za varnostni odziv UCloud bo imel prednost pred interesi poročevalcev o ranljivostih in bo to storil, če bo potrebno
Uvedite zunanje organe za skupno odločanje.








Prejšnji:JS prestreže zadnjega. se lahko uporabi za oceno obsega IP segmentov
Naslednji:SQL Injection Book - ranljivost ASP Injection Full Contact

Sorodne objave
Disclaimer:
Vsa programska oprema, programski materiali ali članki, ki jih izdaja Code Farmer Network, so namenjeni zgolj učnim in raziskovalnim namenom; Zgornja vsebina ne sme biti uporabljena v komercialne ali nezakonite namene, sicer uporabniki nosijo vse posledice. Informacije na tej strani prihajajo z interneta, spori glede avtorskih pravic pa nimajo nobene zveze s to stranjo. Zgornjo vsebino morate popolnoma izbrisati z računalnika v 24 urah po prenosu. Če vam je program všeč, podprite pristno programsko opremo, kupite registracijo in pridobite boljše pristne storitve. Če pride do kakršne koli kršitve, nas prosimo kontaktirajte po elektronski pošti.
Mail To:help@itsvse.com