UCloud SRC 奖励标准 V1.2

公告编号:UCloud SRC 奖励标准 V 1.2作者:admin发布日期:2021/12/01

一、基本说明

1. 奖励标准仅针对UCloud相关产品和业务有影响的安全隐患及威胁情报。相关范围包括但不限于*.ucloud.cn主域名和UCloud发布的产品。

2. 对于非UCloud直接发布的业务或Ucloud第三方平台或云上客户的业务(如客户CDN,PATHX,云上用户存储空间等),不计入贡献。

3. 由同一个漏洞源产生的多个漏洞一般计漏洞数量为一个,如提交问题已修复但其他位置仍存在该问题则重新计入贡献,同一个域名的同类问题在七个工作日内重复提交,只计第一个。

4. 同一漏洞只对最早提交者计算贡献,在其它平台上提交过的不计入贡献,提交在其他漏洞披露平台已提交的漏洞不计分。

5. 提交外界已经公开的漏洞不计入贡献。

6. 第三方库导致的漏洞只给第一个提交者计贡献值,等级不高于【中】,且不保证修复时长,不同版本的同一处漏洞视为相同漏洞。

7. 各等级漏洞的最终贡献值数量由漏洞利用难度及影响范围等综合因素决定,若漏洞触发条件非常苛刻,则可降低漏洞等级。

8. 厂商已知漏洞不重复计算贡献值,漏洞提交后厂商会迅速是否为已知漏洞,并给出回应。

9. 以安全测试为借口,利用情报信息进行损害用户利益、影响业务正常运作、修复前公开、盗取用户数据等行为的,将不会计分,同时保留采取进一步法律行动的权利。

10.已经报告给其他第三方的漏洞,不在给予奖励。


二、测试规范

参考:《SRC行业安全测试规范》

1. 注入漏洞,只要证明可以读取数据就行,严禁读取表内数据。对于 UPDATE、DELETE、INSERT 等注入类型,不允许使用自动化工具进行测试。

2. 越权漏洞,越权读取的时候,能读取到的真实数据不超过5组,严禁进行批量读取。

3. 帐号可注册的情况下,只允许用自己的2个帐号验证漏洞效果,不要涉及线上正常用户的帐号,越权增删改,请使用自己测试帐号进行。帐号不可注册的情况下,如果获取到该系统的账密并验证成功,如需进一步安全测试,请咨询管理员得到同意后进行测试。

4. 存储 XSS 漏洞,正确的方法是插入不影响他人的测试 payload,严禁弹窗,推荐使用 console.log。再通过自己的另一个帐号进行验证,提供截图证明。对于盲打类 XSS,仅允许外带 domain 信息。所有 XSS 测试,测试之后需删除插入数据,如不能删除,请在漏洞报告中备注插入点。

5. 如果可以 Shell 或者命令执行的,推荐上传一个文本证明,如纯文本的 1.php、1.jsp 等证明问题存在即可,禁止下载和读取服务器上任何源代码文件和敏感文件,不要执行删除、写入命令,如果是上传的 WebShell,请写明 Shell 文件地址和连接口令。

6. 在测试未限制发送短信或邮件次数等扫号类漏洞,测试成功的数量不超过 50 个。如果用户可以感知,例如会给用户发送登陆提醒短信,则不允许对他人真实手机号进行测试。

7. 如需要进行具有自动传播和扩散能力漏洞的测试(如社交蠕虫的测试),只允许使用和其他账号隔离的小号进行测试。不要使用有社交关系的账号,防止蠕虫扩散。

8. 禁止对网站后台和部分私密项目使用扫描器。

9. 除特别获准的情况下,严禁与漏洞无关的社工,严禁进行内网渗透。

10. 禁止进行可能引起业务异常运行的测试,例如:IIS 的拒绝服务等可导致拒绝服务的漏洞测试以及 DDoS 攻击。

11. 请不要对未授权厂商、未分配给自己的项目、超出测试范围的列表进行漏洞挖掘,可与管理员联系确认是否属于资产范围后进行挖掘,否则未授权的法律风险将由漏洞挖掘者自己承担。

12. 禁止拖库、随意大量增删改他人信息,禁止可对服务稳定性造成影响的扫描、使用将漏洞进行黑灰产行为等恶意行为。

13. 敏感信息的泄漏会对用户、厂商及上报者都产生较大风险,禁止保存和传播和业务相关的敏感数据,包括但不限于业务服务器以及 Github 等平台泄露的源代码、运营数据、用户资料等,若存在不知情的下载行为,需及时说明和删除。

14. 尊重《中华人民共和国网络安全法》的相关规定。禁止一切以漏洞测试为借口,利用安全漏洞进行破坏、损害用户利益的行为,包括但不限于威胁、恐吓SRC要公开漏洞或数据,请不要在任何情况下泄露漏洞测试过程中所获知的任何信息,漏洞信息对第三方披露请先联系 ZSRC 获得授权。企业将对违法违规者保留采取进一步法律行动的权利。


三、威胁情报反馈与处理流程

报告阶段

报告者登录平台,提单反馈威胁情报(状态:审核中)。 

处理阶段

- 2 个工作日内,工作人员会确认收到的安全报告并开始评估问题(状态:审核中)。

- 5 个工作日内,工作人员处理问题、给出结论并计分(状态:已确认/已忽略)。

- 必要时会与报告者沟通确认,请报告者予以协助。

修复阶段

- 业务部门修复安全报告中反馈的安全问题并安排更新上线(状态:已修复)。修复时间根据问题的严重程度及修复难度而定,一般来说,严重和高风险问题 两个工作日内,中风险十五个工作日内,低风险四十五个工作日内。客户端安全问题受版本发布限制,修复时间根据实际情况确定。

- 报告者复查安全问题是否修复。

完成阶段

安全报告报告者可以通过报告漏洞获得安全币(1 安全币约为人民币 1 元),通过安全币在虚拟市场置换现金或礼品(状态:已完成)。


四、业务漏洞评分标准

根据漏洞危害程度以及业务类型,分为严重、高、中、低、无四个等级,不同的等级给予提交者不同的奖励积分与安全币。

安全币由漏洞对应用的危害程度以及应用的重要程度决定,安全币将用于礼品奖励兑换。

安全积分由漏洞对应用的危害程度以及应用的重要程度决定,贡献值将用于荣誉奖励颁发。


分类严重高危中危低危可接受/忽略/无
生产业务(安全币)2500-50001000-2300200-800100-200/
边缘业务(安全币)800-2000200-800100-20050/
安全积分12-167-113-61-20


严重风险 本等级包括:

-  直接获取核心系统权限的漏洞(服务器权限、PC客户端权限)。包括但不仅限于远程命令执行、任意代码执行、上传获取Webshell、SQL注入获取系统权限、缓冲区溢出(包括可利用的 ActiveX缓冲区溢出)。

-  直接导致业务异常的漏洞。包括但不仅限于直接导致网关业务API业务拒绝服务、网站应用拒绝服务等造成严重影响的远程拒绝服务漏洞。

-  严重的敏感信息泄漏。包括但不仅限于核心 DB(资金、身份、交易相关) 的 SQL 注入,可获取大量核心用户的身份信息、订单信息、银行卡信息等接口问题引起的敏感信息泄露。

-  严重的逻辑设计缺陷和流程缺陷。包括但不仅限于通过业务接口批量发送任意伪造消息、任意账号资金消费、批量修改任意帐号密码漏洞。

高风险 本等级包括:

-  敏感信息泄漏。包括但不仅限于非核心DB SQL注入、源代码压缩包泄漏、服务器应用加密可逆或明文、API访问摘要、硬编码等问题引起的敏感信息泄露。

-  敏感信息越权访问。包括但不仅限于绕过认证直接访问管理后台、后台弱密码、获取大量内网敏感信息的SSRF。

-  直接获取系统权限的漏洞。包括但不仅限于远程命令执行、任意代码执行。

-  越权敏感操作。包括但不仅限于账号越权修改重要信息、进行订单普通操作、重要业务配置修改等较为重要的越权行为。

-  大范围影响用户的其他漏洞。包括但不仅限于可造成自动传播的重要页面的存储型XSS(包括存储型DOM-XSS)和涉及交易、资金、密码、店铺的CSRF。

中风险 本等级包括:

-  需交互方可影响用户的漏洞。包括但不仅限于一般页面的存储型XSS、反射型 XSS(包括反射型 DOM-XSS)、重要操作CSRF、URL跳转漏洞。

-  普通越权操作。包括但不仅限于不正确的直接对象引用。影响业务运行的Broadcast消息伪造等Android组件权限漏洞等。

-  普通信息泄漏。包括但不仅限于客户端明文存储密码、客户端密码明文传输以及web路径遍历、系统路径遍历。

-  普通的逻辑设计缺陷和流程缺陷。

低风险 本等级包括:

-  本地拒绝服务漏洞。包括但不仅限于客户端本地拒绝服务(解析文件格式、网络协议产生的崩溃),由Android组件权限暴露、普通应用权限引起的问题等。

-  轻微信息泄漏。包括但不仅限于路径信息泄漏、SVN信息泄漏、PHPinfo、异常信息泄露,以及客户端应用本地SQL注入(仅泄漏数据库名称、字段名、cache内容)、日志打印、配置信息、异常信息等。

-  难以利用但存在安全隐患的漏洞。包括但不仅限于难以利用的SQL注入点、可引起传播和利用的Self-XSS、需构造部分参数且有一定影响的CSRF。

无影响/可接受 本等级包括:

-  无关安全的 BUG。包括但不限于网页乱码、网页无法打开、某功能无法用。

-  无法利用的“漏洞”,包括但不限于没有实际意义的扫描器漏洞报告(如 Web Server 的低版本)、Self-XSS、无敏感信息的 JSON Hijacking、无敏感操作的 CSRF(如收藏等)、无意义的源码泄漏、内网 IP 地址/域名泄漏、401 基础认证钓鱼、程序路径信任问题、无敏感信息的 logcat 信息泄漏。

-  无任何证据的猜测。


五、安全情报评分标准

此处的安全情报特指针对UCloud产品和业务漏洞相关的情报,包括但不限于漏洞线索、攻击线索、攻击者相关信息、攻击方式、攻击技术等。根据危害及情报提供情况给予安全币 100 - 1000 的奖励,涵盖内容如下:

-  服务器被入侵且提供了入侵行为方式等相关线索,方便快速定位确认问题点。

-  重要业务数据库被拖取且提供了数据库名或数据库文件等相关线索,方便快速定位确认问题点。

-  重大金融逻辑漏洞线索,例如支付、提现相关严重的逻辑漏洞。

-  攻击者相关信息,如攻击者 QQ、微信、电话等。


六、评分标准通用原则

1.  评分标准仅针对对UCloud产品和业务有影响的威胁情报。

2.  通用型漏洞一般计漏洞数量为一个(如同一个 JS 引起的多个 XSS 漏洞、同一个发布系统引起的多个页面的 XSS 漏洞、框架导致的整站 XSS/CSRF 漏洞、泛域名解析产生的多个 XSS 漏洞、同一域名下同一组件产生的多个 Flash XSS 漏洞等。

3.  对于第三方库(比如 libpng、zlib、libjpeg 等等)导致的客户端漏洞(包括桌面端和移动端),且可以通过升级或者更换第三方库可完成修复的漏洞,仅给首个漏洞报告者计分。同时,从 USRC 获取首个漏洞的反馈时间到第三方首个修复版本发布时间的日期内,对于同一类漏洞均按一个漏洞计分,危害等级取危害最大的一个漏洞来评定。

4.  对于移动终端系统导致的通用型漏洞,比如 WebKit 的 UXSS、代码执行等等,仅给首个漏洞报告者计分,对于其它产品的同个漏洞报告,均不再另外计分。

5.  由于客户端漏洞审核本身比较复杂并且涉及到其它的开发部门,审核时间可能较长,有时可能由于报告者提供的漏洞细节不够详尽,导致 USRC 无法按原定时间内给出结论,请各位白帽子理解。因此请各位白帽子在反馈漏洞时提供 poc/exploit,并提供相应的漏洞分析,以加快管理员处理速度,对于 poc 或 exploit 未提供或者没有详细分析的漏洞提交将可能直接影响评分。

6.  如果同一时间周期内提交同一客户端的多个漏洞,请报告者在反馈漏洞时明确给出导致漏洞和触发漏洞的关键代码,以帮助快速确认是否为相同漏洞,加快漏洞确认时间。

7.  威胁情报报告者复查安全问题时如果发现安全问题仍然存在或未修复好,当作新威胁情报继续计分。

8.  同一条威胁情报,第一个报告者得分,其他报告者不得分;提交网上已公开的威胁情报不计分。

9.  拒绝无实际危害证明的扫描器结果。

10.  以安全测试为借口,利用情报信息进行损害用户利益、影响业务正常运作、修复前公开、盗取用户数据等行为的,将不会计分,同时保留采取进一步法律行动的权利。


七、违规罚则

UCloud 安全应急响应中心针对违反测试规范的罚则如下:

1.  对于干扰业务的违规测试行为(包括但不限于以上“测试规范”内容),所提交漏洞积分为0,漏洞奖金将根据业务资损情况判定是否扣除。

2.  如有三次违规测试行为,将取消该年度平台福利、季度奖金和年度奖金资格。

3.  如触犯测试规范第14条,将取消所有奖励(漏洞奖励、平台福利、季度奖励和年终奖励等),同时我们将保留法律追责权力。

4.  以上处罚措施解释权归UCloud应急响应中心所有。