Denna artikel är en spegelartikel om maskinöversättning, klicka här för att hoppa till originalartikeln.

Architect_Programmer_Code Jordbruksnätverket»Arkitekt Andra teknologier Säker offensiv och försvar UClouds sårbarhetshanteringsprocess och belöningsdetaljer
Utsikt: 12750|Svar: 0

[Säkerhetssårbarhet] UClouds sårbarhetshanteringsprocess och belöningsdetaljer

[Kopiera länk]
Publicerad på 2015-09-28 00:14:33 | | |
Grundläggande principer
1. UCloud fäster stor vikt vid säkerheten för sina produkter och verksamhet, och har alltid varit engagerat i att säkerställa användarnas säkerhet
    Vi ser fram emot att stärka UClouds nätverk genom Security Response Center genom att arbeta nära individer, organisationer och företag i branschen
    Säkerhetsnivå.
2. UCloud Vi tackar de vita hatt-hackarna som hjälpte till att skydda våra användares intressen och förbättrade UCloud Security Center
    och att ge tillbaka.
3. UCloud motsätter sig och fördömer alla sårbarheter som använder sårbarhetstestning som ursäkt för att förstöra och skada användarnas intressen
    Hackningsaktiviteter, inklusive men inte begränsat till att utnyttja sårbarheter för att stjäla användarinformation, invadera affärssystem, modifiera och stjäla relaterad information
    enhetlig data, illvillig spridning av sårbarheter eller data. UCloud kommer att ta juridiskt ansvar för någon av ovanstående handlingar.
Sårbarhetsåterkoppling och hanteringsprocess
1. Skicka in sårbarhetsinformation via e-post, Weibo eller QQ-gruppen.
2. Inom en arbetsdag kommer USRC:s personal att bekräfta mottagandet av sårbarhetsrapporten och följa upp för att börja bedöma problemet.
3. Inom tre arbetsdagar kommer USRC-personalen att ta itu med frågan, ge ett avslut och kontrollera utmärkelsen. (Om det behövs kommer det att ges.)
    Reportern kommunicerar och bekräftar, och ber reportern att hjälpa till med det. )
4. Affärsavdelningen åtgärdar sårbarheten och ordnar att uppdateringen går online, och reparationstiden beror på problemets allvar och reparationens svårighetsgrad.
5. Sårbarhetsrapportörer granskar sårbarheter.
6. Dela ut belöningar.

Kriterier för poäng för säkerhetssårbarheter
För varje sårbarhetsnivå kommer vi att genomföra en omfattande granskning baserad på den tekniska svårigheten i att utnyttja sårbarheten och sårbarhetens påverkan
Övervägande, uppdelat i olika nivåer och givet motsvarande poäng.
Beroende på tjänstenivån av sårbarhet delas graden av sårbarhetsskada in i fyra nivåer: hög risk, medelrisk, låg risk och ignorerad
De sårbarheter som täcks och poängsättningskriterierna är följande:
Hög risk:
Belöningar: Shoppingkort värda 1000–2000 yuan eller gåvor av samma värde, inklusive men inte begränsat till:
1. En sårbarhet som direkt erhåller systemrättigheter (serverrättigheter, databasprivilegier). Detta inkluderar, men är inte begränsat till, fjärrkontrollerade godtyckliga kommandon
    Exekvering, kodexekvering, godtycklig filuppladdning för att få Webshell, buffer overflow, SQL-injektion för att få systemrättigheter
    Begränsningar, serverparsningssårbarheter, filinkluderingssårbarheter, etc.
2. Allvarliga logiska designfel. Detta inkluderar, men är inte begränsat till, inloggning med vilket konto som helst, att ändra lösenordet till vilket konto som helst samt att verifiera SMS och e-post
    Bypass.
3. Allvarlig läckage av känslig information. Detta inkluderar, men är inte begränsat till, allvarlig SQL-injektion, godtycklig filinkludering med mera.

4. Obehörig åtkomst. Detta inkluderar, men är inte begränsat till, att kringgå autentisering för att komma åt bakgrunden direkt, bakgrundsinloggning svagt lösenord, SSH svagt lösenord, etc
    Enligt biblioteket är lösenordet svagt, osv.
5. Erhålla användardata eller behörigheter för UCloud-användare via UCloud-plattformen.
Medelstor fara:
Belöningar: Shoppingkort eller gåvor av samma värde för 500–1000 yuan, inklusive men inte begränsat till:
1. Sårbarheter som kräver interaktion för att få användaridentitetsinformation. Inklusive lagringsbaserad XSS, bland andra.
2. Vanliga logikkonstruktionsfel. Inklusive men inte begränsat till obegränsad SMS- och e-postutskickning.
3. Ofokuserade produktlinjer, utnyttjande av svåra SQL-injektionssårbarheter, etc.

Låg risk:
Belöningar: Shoppingkort värda 100–500 yuan eller gåvor av samma värde, inklusive men inte begränsat till:
1. Allmän sårbarhet för informationsläckage. Detta inkluderar men är inte begränsat till sökvägsläckage, SVN-filläckage, LOG-filläckage,
    phpinfo, etc.
2. Sårbarheter som inte kan utnyttjas eller är svåra att utnyttja, inklusive men inte begränsat till reflekterande XSS.
Ignorera:
Denna nivå inkluderar:
1. Buggar som inte involverar säkerhetsfrågor. Inklusive men inte begränsat till produktfunktionsfel, osammanhängande sidor, stilblandning med mera.
2. Sårbarheter som inte kan återskapas eller andra problem som inte kan speglas direkt. Detta inkluderar, men är inte begränsat till, frågor som är rent användarspekulativa
    Fråga.

Allmänna principer för poängkriterier:
1. Poängsättningskriterierna gäller endast för alla UClouds produkter och tjänster. Domännamn inkluderar, men är inte begränsade till, *.ucloud.cn-server
    Inkluderar servrar som drivs av UCloud, och produkterna är mobila produkter som släppts av UCloud.
2. Buggbelöningar är begränsade till sårbarheter som lämnas in på UCloud Security Response Center, inte de som lämnas in på andra plattformar
    Poäng.
3. Att lämna in sårbarheter som har offentliggjorts på internet kommer inte att poängsättas.
4. Poäng för den tidigaste committer med samma sårbarhet.
5. Flera sårbarheter från samma sårbarhetskälla registreras som endast 1.
6. För samma länk-URL, om flera parametrar har liknande sårbarheter, kommer samma länk att vara annorlunda enligt en sårbarhetskredit
    typ, kommer belöningen att ges utifrån graden av skada.
7. För allmänna sårbarheter orsakade av mobila terminalsystem, såsom webkit uxss, kodexekvering etc., anges endast den första
    Belöningar för sårbarhetsrapporterare kommer inte längre att räknas för samma sårbarhetsrapport som andra produkter.

8. Den slutliga poängen för varje sårbarhet bestäms av en omfattande bedömning av sårbarhetens utnyttjandhet, skadans omfattning och omfattningen av påverkan. Det är möjligt
    Sårbarhetspunkter med låga sårbarhetsnivåer är högre än sårbarheter med hög sårbarhet.
9. Vita hattar ombeds att tillhandahålla POC/exploit vid rapportering av sårbarheter och att tillhandahålla motsvarande sårbarhetsanalys för att påskynda administratörer
    Bearbetningshastigheten kan påverkas direkt för sårbarhetsinlämningar som inte tillhandahålls av POC eller exploit eller som inte analyseras i detalj
    Belöningar.

Bonusbetalningsprocess:
USRC-personalen förhandlade med de vita hattarna när och hur gåvorna skulle delas ut.
Tvistlösning:
Om anmälaren har några invändningar mot sårbarhetsbedömningen eller sårbarhetspoängsättningen under hanteringsprocessen, kontakta administratören i rätt tid
Kommunikation. UCloud Security Emergency Response Center kommer att gå före sårbarhetsrapporterares intressen och kommer att göra det vid behov
Införa externa myndigheter för gemensamt avgörande.








Föregående:JS avlyssnar den sista. kan användas för att bedöma IP-segmentets intervall
Nästa:SQL Injection Book - ASP-injektionssårbarhet Full Contact

Relaterade inlägg
Friskrivning:
All programvara, programmeringsmaterial eller artiklar som publiceras av Code Farmer Network är endast för lärande- och forskningsändamål; Ovanstående innehåll får inte användas för kommersiella eller olagliga ändamål, annars kommer användarna att bära alla konsekvenser. Informationen på denna sida kommer från internet, och upphovsrättstvister har inget med denna sida att göra. Du måste helt radera ovanstående innehåll från din dator inom 24 timmar efter nedladdning. Om du gillar programmet, vänligen stöd äkta programvara, köp registrering och få bättre äkta tjänster. Om det finns något intrång, vänligen kontakta oss via e-post.
Mail To:help@itsvse.com