Основні принципи
1. UCloud надає великого значення безпеці своїх продуктів і бізнесу і завжди прагнула забезпечити безпеку користувачів
Ми з нетерпінням чекаємо можливості розширити мережу UCloud через Security Response Center, тісно співпрацюючи з окремими особами, організаціями та компаніями в галузі
Рівень безпеки.
2. UCloud Ми дякуємо хакерам-білим капелюсам, які допомогли захистити інтереси наших користувачів і покращити Центр безпеки UCloud
і віддавати.
3. UCloud виступає проти та засуджує всі вразливості, які використовують тестування вразливостей як привід для руйнування та шкоди інтересам користувачів
Хакерські дії, включаючи, але не обмежуючись, використанням вразливостей для викрадення інформації користувачів, проникнення в бізнес-системи, модифікації та крадіжки пов'язаної інформації
Уніфіковані дані, шкідливе поширення вразливостей або даних. UCloud притягне юридичну відповідальність за будь-які з вищезазначених дій.
Процес зворотного зв'язку та обробки вразливостей
1. Надсилайте інформацію про вразливості через електронну пошту, Weibo або QQ group.
2. Протягом одного робочого дня співробітники USRC підтвердять отримання звіту про вразливість і почнуть оцінювати проблему.
3. Протягом трьох робочих днів співробітники USRC розглянуть проблему, нададуть висновок і перевірять нагороду. (За потреби — це буде надано.)
Репортер спілкується, підтверджує і просить його допомогти. )
4. Бізнес-відділ усуває вразливість і організовує оновлення для онлайн-виходу, а час ремонту залежить від серйозності проблеми та складності ремонту.
5. Репортери про вразливості переглядають їх.
6. Розподіляйте винагороди.
Критерії оцінювання вразливості безпеки
Для кожного рівня вразливості ми проведемо комплексне обстеження на основі технічних складнощів експлуатації вразливості та її впливу
Розгляд, поділений на різні рівні та надаючи відповідні бали.
Відповідно до рівня вразливості сервісу, ступінь шкоди від вразливості поділяється на чотири рівні: високий ризик, середній ризик, низький ризик і ігнорування
Вразливості, які розглядаються, та критерії оцінювання такі:
Високий ризик:
Винагороди: Картки для покупок вартістю 1000-2000 юанів або подарунки тієї ж вартості, включаючи, але не обмежуючись:
1. Вразливість, яка безпосередньо отримує системні привілеї (серверні привілеї, привілеї бази даних). Це включає, але не обмежується, віддаленими довільними командами
Виконання, виконання коду, довільне завантаження файлів для отримання Webshell, переповнення буфера, SQL-ін'єкція для отримання системних прав
Обмеження, вразливості при парсінгу серверів, вразливості при включенні файлів тощо.
2. Серйозні недоліки логічного дизайну. Це включає, але не обмежуючись, входом з будь-якого акаунта, зміною пароля від будь-якого облікового запису та перевіркою SMS та електронної пошти
Обхід.
3. Серйозний витік чутливої інформації. Це включає, але не обмежується, серйозними SQL-ін'єкціями, довільним включенням файлів тощо.
4. Несанкціонований доступ. Це включає, але не обмежується, обходом автентифікації для прямого доступу до фону, слабким паролем у фоновому вході, слабким паролем SSH тощо
За даними бібліотеки, пароль слабкий тощо.
5. Отримати дані користувача UCloud або дозволи користувача через платформу UCloud.
Середня небезпека:
Винагороди: Картки або подарунки на суму 500-1000 юанів тієї ж вартості, включаючи, але не обмежуючись:
1. Вразливості, які потребують взаємодії для отримання інформації про ідентифікацію користувача. Включаючи XSS на базі зберігання та інші.
2. Звичайні дефекти логічного проектування. Включно, але не обмежуючись, необмеженим SMS та електронною поштою.
3. Неспеціалізовані продуктові лінії, використання складних вразливостей SQL-ін'єкцій тощо.
Низький ризик:
Винагороди: Картки на суму 100-500 юанів або подарунки тієї ж вартості, включаючи, але не обмежуючись:
1. Загальна вразливість до витоку інформації. Це включає, але не обмежуючись, витік шляхів, витік файлів SVN, витік файлів LOG,
phpinfo тощо.
2. Вразливості, які не можна експлуатувати або які не можна використовувати важко, зокрема, але не обмежуючись, відбивним XSS.
Ігнорувати:
Цей рівень включає:
1. Баги, які не пов'язані з проблемами безпеки. Включно, але не обмежуючись, дефектами функціональності продукту, спотвореними сторінками, змішуванням стилів тощо.
2. Вразливості, які не можна відтворити, або інші проблеми, які не можуть бути безпосередньо відображені. Це включає, але не обмежується, питаннями, які є суто спекулятивними користувачами
Питання.
Загальні принципи критеріїв оцінювання:
1. Критерії оцінювання застосовуються лише до всіх продуктів і послуг UCloud. Доменні імена включають, але не обмежуються, *.ucloud.cn, сервер
Включає сервери, що керуються UCloud, а ці продукти є мобільними продуктами, випущеними UCloud.
2. Винагороди за баги обмежуються вразливостями, поданими на UCloud Security Response Center, а не на інших платформах
Бали.
3. Подання вразливостей, які були розкриті в Інтернеті, не буде оцінюватися.
4. Оцінка для найранішого коммітера з тією ж вразливістю.
5. Кілька вразливостей з одного джерела вразливості фіксуються лише як 1.
6. Для однієї й тієї ж URL-адреси посилання, якщо кілька параметрів мають схожі вразливості, те саме посилання буде відрізнятися залежно від одного кредиту вразливості
тип — винагорода буде надана залежно від ступеня шкоди.
7. Для універсальних вразливостей, спричинених мобільними термінальними системами, такими як webkit uxss, виконання коду тощо, задається лише перша
Винагороди за звітування про вразливості більше не зараховуватимуться для того самого звіту про вразливості, що й інші продукти.
8. Підсумковий бал кожної вразливості визначається на основі всебічного розгляду можливості експлуатації вразливості, розміру шкоди та масштабу впливу. Це можливо
Точки вразливості з низьким рівнем вразливості вищі, ніж точки з високим рівнем вразливості.
9. Запитуються білі капелюхи для надання POC/експлойтів при звітуванні про вразливості та відповідного аналізу вразливостей для прискорення роботи адміністраторів
Швидкість обробки може безпосередньо впливати при поданні вразливостей, які не надаються POC або експлойтами, або не аналізуються детально
Винагороди.
Процес виплати бонусів:
Співробітники USRC вели переговори з білими капелюхами, коли і як будуть розподілятися подарунки.
Вирішення спорів:
Якщо у репортера виникнуть заперечення щодо оцінки вразливості або оцінювання вразливості під час процесу обробки вразливостей, зв'яжіться з адміністратором оперативно
Комунікація. Центр реагування на надзвичайні ситуації безпеки UCloud матиме пріоритет над інтересами репортерів з вразливостей і, за потреби, робитиме це
Запровадити зовнішні повноваження для спільного розгляду.
|
Опубліковано 28.09.2015 00:14:33
|
|
|
