Bu makale makine çevirisi ayna makalesidir, orijinal makaleye geçmek için lütfen buraya tıklayın.

Architect_Programmer_Code Tarım Ağı»Mimar Diğer Teknolojiler Güvenli hücum ve savunma UCloud güvenlik açığı işleme süreci ve ödül detayları
Görünüm: 12750|Yanıt: 0

[Güvenlik Açığı] UCloud güvenlik açığı işleme süreci ve ödül detayları

[Bağlantıyı kopyala]
Yayınlandı 28.09.2015 00:14:33 | | |
Temel prensipler
1. UCloud, ürünlerinin ve işlerinin güvenliğine büyük önem verir ve kullanıcıların güvenliğini sağlamaya her zaman kararlıdır
    UCloud'un ağını Güvenlik Yanıt Merkezi aracılığıyla güçlendirmeyi dört gözle bekliyoruz; sektördeki bireyler, kuruluşlar ve şirketlerle yakın iş birliği yaparak
    Güvenlik seviyesi.
2. UCloud Kullanıcılarımızın çıkarlarını korumaya ve UCloud Güvenlik Merkezi'ni geliştirmeye yardımcı olan beyaz şapkalı hackerlara teşekkür ederiz
    ve geri vermek.
3. UCloud, kullanıcıların çıkarlarını yok etmek ve zarar vermek için zafiyet testini bahane olarak kullanan tüm açıklıklara karşı çıkar ve onları kınar
    Kullanıcı bilgilerini çalmak, iş sistemlerine girmek, ilgili bilgileri değiştirmek ve çalmak için güvenlik açıklarını kullanmak dahil ancak bunlarla sınırlı olmak üzere hackleme faaliyetleri
    Birleşik veri, zafiyetlerin veya verilerin kötü niyetli yayılması. UCloud, yukarıdaki eylemlerin herhangi birinden yasal sorumluluğu üstlenir.
Güvenlik açığı geri bildirimi ve yönetimi süreci
1. Güvenlik açığı bilgilerini e-posta, Weibo veya QQ grubu üzerinden gönderin.
2. Bir iş günü içinde, USRC personeli zafiyet raporunu aldığını onaylayacak ve sorunu değerlendirmeye başlamak için takip edecektir.
3. USRC personeli üç çalışma günü içinde konuyu ele alacak, sonuç verecek ve ödülü kontrol edecek. (Gerekirse verilecek.)
    Muhabir iletişim kurar, doğrular ve muhabirden yardım ister. )
4. İş departmanı zayıflığı düzeltir ve güncellemenin çevrimiçi olmasını ayarlar; tamir süresi sorunun ciddiyetine ve tamir zorluğuna bağlıdır.
5. Güvenlik açığı muhbirleri zafiyetleri inceler.
6. Ödülleri dağıtın.

Güvenlik açığı puanlama kriterleri
Her güvenlik açığı seviyesi için, bu zayıflığın kullanımı teknik zorluğuna ve bu zafiyetin etkisine dayalı kapsamlı bir inceleme yapacağız
Farklı seviyelere ayrılmış ve karşılık gelen puanlar verilmiştir.
Hizmet seviyesine göre, kırılganlık hasarı derecesi dört seviyeye ayrılır: yüksek risk, orta risk, düşük risk ve görmezden gelinmiş
Ele alınan güvenlik açıklıkları ve puanlama kriterleri şunlardır:
Yüksek risk:
Ödüller: 1000-2000 yuan değerinde alışveriş kartları veya aynı değerde hediyeler, bunlar arasında ancak bunlarla sınırlı olmamak gereken:
1. Sistem ayrıcalıklarını doğrudan (sunucu ayrıcalıkları, veritabanı ayrıcalıkları) elde eden bir zafiyet. Bu, uzaktan keyfi komutları içerir ancak bunlarla sınırlı değildir
    Yürütme, kod çalıştırma, Webshell almak için rastgele dosya yükleme, buffer overflow, sistem haklarını almak için SQL enjeksiyonu
    Sınırlamalar, sunucu ayrıştırma açıkları, dosya dahil etme zayıflıkları vb.
2. Ciddi mantık tasarım hataları. Bu, herhangi bir hesapla giriş yapmayı, herhangi bir hesabın şifresini değiştirmeyi ve SMS ile e-posta doğrulamasını içerir ancak bunlarla sınırlı değildir
    Bypass.
3. Hassas bilgilerin ciddi sızıntısı. Bu, ciddi SQL enjeksiyonu, rastgele dosya dahil etme gibi şeyleri içerir ancak bunlarla sınırlı değildir.

4. İzinsiz erişim. Bu, arka plana doğrudan erişmek için kimlik doğrulamayı atlamayı, arka plan girişi zayıf şifresi, SSH zayıf şifre vb. içerir ancak bunlarla sınırlı değildir
    Kütüphaneye göre, şifre zayıf vs.
5. UCloud platformu üzerinden kullanıcı UCloud kullanıcı verilerini veya izinlerini edinin.
Orta Tehlike:
Ödüller: 500-1000 yuan değerinde aynı değerde alışveriş kartları veya hediyeler, bunlar dahil ancak bunlarla sınırlı olmakla birlikte:
1. Kullanıcı kimliği bilgilerini elde etmek için etkileşim gerektiren güvenlik açıkları. Depolama tabanlı XSS ve diğerleri de var.
2. Sıradan mantık tasarım hataları. Sınırsız SMS ve e-posta gönderme dahil ama bunlarla sınırlı değil.
3. Odaklanmamış ürün serileri, zor SQL enjeksiyon açıklarından faydalanma vb.

Düşük risk:
Ödüller: 100-500 yuan değerinde alışveriş kartları veya aynı değerde hediyeler, bunlar arasında ancak bunlarla sınırlı olmamak gereken:
1. Genel bilgi sızıntısı açığı. Bu, yol sızıntısı, SVN dosya sızıntısı, LOG dosya sızıntısı dahil olmak üzere ancak bunlarla sınırlı değildir,
    phpinfo vb.
2. Yansıtıcı XSS dahil ancak bunlarla sınırlı olmayan şekilde sömürülemeyecek veya sömürülmesi zor olan zayıflıklar.
Görmezden gelin:
Bu seviye şunları içerir:
1. Güvenlik sorunları içermeyen hatalar. Ürün işlev kusurları, bozuk sayfalar, stil karıştırma gibi durumlar dahil ama bunlarla sınırlı değil.
2. Tekrarlanamayan zayıflıklar veya doğrudan yansıtılamayan diğer sorunlar. Bu, tamamen kullanıcı spekülatif olan soruları içerir ancak bunlarla sınırlı değildir
    Soru.

Puanlama kriterlerinin genel ilkeleri:
1. Puanlama kriterleri yalnızca tüm UCloud ürün ve hizmetleri için geçerlidir. Alan adları arasında *.ucloud.cn, sunucu bulunur ancak bunlarla sınırlı değildir
    UCloud tarafından işletilen sunucuları içerir ve ürünler UCloud tarafından yayımlanan mobil ürünlerdir.
2. Hata ödülleri, UCloud Güvenlik Müdahale Merkezi'nde gönderilen güvenlik açıklarıyla sınırlıdır, diğer platformlarda gönderilenlerle değil
    Puanlar.
3. İnternette açıklanan açıklıklar puanlanmaz.
4. Aynı zayıflığı en erken yaşayan kişi için puan.
5. Aynı güvenlik açığı kaynağından birden fazla güvenlik açığı yalnızca 1 olarak kaydedilir.
6. Aynı bağlantı URL'si için, birden fazla parametre benzer güvenlik açığı sahipse, aynı bağlantı bir güvenlik açığı kredisine göre farklı olur
    Türde, ödül zarar derecesine göre verilecektir.
7. Webkit uxss, kod çalıştırma gibi mobil terminal sistemlerinin neden olduğu genel amaçlı güvenlik açıkları için yalnızca ilk güvenlik açığı verilir
    Güvenlik açığı bildirici ödülleri artık diğer ürünlerin aynı güvenlik açığı raporu için sayılmayacak.

8. Her bir zafiyetin nihai puanı, zayıflığın sömürülebilirliği, zararın büyüklüğü ve etki kapsamının kapsamlı değerlendirilmesiyle belirlenir. Mümkün
    Düşük savunmasızlık seviyelerine sahip zayıflık noktaları, yüksek savunmasızlık seviyelerine sahip zafiyetlerden daha yüksektir.
9. Beyaz şapkalılardan, güvenlik açığı raporlarken POC/exploit sağlamaları ve yöneticileri hızlandırmak için ilgili güvenlik açığı analizi sağlamaları istenir
    POC tarafından sağlanmayan, istismar edilmeyen veya ayrıntılı analiz edilmeyen güvenlik açığı gönderimleri için işlem hızı doğrudan etkilenebilir
    Ödüller.

Bonus Ödeme Süreci :
USRC personeli, beyaz şapkalılarla hediyelerin ne zaman ve nasıl dağıtılacağı konusunda pazarlık yaptı.
Uyuşmazlık Çözümü :
Eğer muhabirin zafiye değerlendirmesi veya zafiyet puanlamasına karşı herhangi bir itirazı varsa, güvenlik açısı işleme sürecinde yöneticiyle zamanında iletişime geçin
İletişim. UCloud Güvenlik Acil Müdahale Merkezi, zafiyet bildiricilerin çıkarlarından öncelikli olacak ve gerekirse bunu yapacaktır
Ortak karar vermek için dış otoriteler getirin.








Önceki:JS sonuncusunu yakalıyor. IP segment aralığını değerlendirmek için kullanılabilir
Önümüzdeki:SQL Enjeksiyon Kitabı - ASP Enjeksiyon Zayıflığı Tam İletişim

İlgili Yazılar
Feragatname:
Code Farmer Network tarafından yayımlanan tüm yazılım, programlama materyalleri veya makaleler yalnızca öğrenme ve araştırma amaçları içindir; Yukarıdaki içerik ticari veya yasa dışı amaçlarla kullanılamaz, aksi takdirde kullanıcılar tüm sonuçları ödemelidir. Bu sitedeki bilgiler internetten alınmakta olup, telif hakkı anlaşmazlıklarının bu siteyle hiçbir ilgisi yoktur. Yukarıdaki içeriği indirmeden sonraki 24 saat içinde bilgisayarınızdan tamamen silmelisiniz. Programı beğendiyseniz, lütfen orijinal yazılımı destekleyin, kayıt satın alın ve daha iyi orijinal hizmetler alın. Herhangi bir ihlal olursa, lütfen bizimle e-posta yoluyla iletişime geçin.
Mail To:help@itsvse.com