UCloud漏洞处理流程与奖励细节

小渣渣

基本原则
1.  UCloud 对自身产品和业务的安全问题非常重视，也一直致力于保障用户安全，我们希
    望通过安全响应中心加强与业界个人、组织及公司密切合作，来提升 UCloud 的网络
    安全水平。
2.  UCloud 对于保护用户利益，帮助 UCloud 安全中心提升的白帽子黑客，我们给予感谢
    和回馈。
3.  UCloud 反对和谴责一切以漏洞测试为借口，利用安全漏洞进行破坏、损害用户利益的
    黑客行为，包括但不限于利用漏洞盗取用户资料、入侵业务系统、修改、窃取相关系
    统资料、恶意传播漏洞或数据。对于发生上述行为的、UCloud 将追究其法律责任。
漏洞反馈与处理流程
1.  通过邮件、微博、QQ 群提交漏洞信息。
2.  一个工作日内，USRC 工作人员会确认收到漏洞报告并跟进开始评估问题。
3.  三个工作日内，USRC 工作人员处理问题、给出结论并核对相应奖励。（必要时会与
    报告者沟通确认，请报告者予以协助。）
4.  业务部门修复漏洞并安排更新上线，修复时间根据问题的严重性及修复难度而定。
5.  漏洞报告者复查漏洞。
6.  发放奖励。

安全漏洞评分标准
对于每一个级别的漏洞，我们会根据漏洞利用的技术难度、漏洞造成的影响等进行综合考
虑，分成不同的层次，并给与相应积分。
根据漏洞出现的业务等级，漏洞危害程度分为高危、中危、低危、忽略四个级别，每个级
别涵盖的漏洞以及评分标准如下：
高危：
奖励：价值 1000-2000 元购物卡或同价值礼品，包含但不限于：
1.  直接获取系统权限（服务器权限、数据库权限）的漏洞。包括但不限于远程任意命令
    执行、代码执行、任意文件上传获取 Webshell、缓冲区溢出、SQL 注入获取系统权
    限、服务器解析漏洞、文件包含漏洞等。
2.  严重的逻辑设计缺陷。包括但不限于任意账号登陆、任意账号密码修改、短信邮件验
    证的绕过。
3.  严重的敏感信息泄露。包括但不限于严重的 SQL 注入、任意文件包含等。

4.  越权访问。包括但不限于绕过验证直接访问后台、后台登录弱口令、SSH 弱口令，数
    据库弱口令等。
5.  通过 UCloud 平台获取用户 UCloud 用户数据或权限。
中危：
奖励：价值 500-1000 元购物卡或同价值礼品，包含但不限于：
1.  需要交互才能获取用户身份信息的漏洞。包括存储型 XSS 等。
2.  普通逻辑设计缺陷。包括但不限于无限制短信邮件等发送等。
3.  非重点产品线、利用难度较大的 SQL 注入漏洞等。

低危：
奖励：价值 100-500 元购物卡或同价值礼品，包含但不限于:
1.  一般信息泄露漏洞。包括但不限于路径泄露、SVN 文件泄露、LOG 文件泄露、
    Phpinfo 等。
2.  无法利用或者难以利用的漏洞，包括但不限于反射型 XSS。
忽略：
本等级包括：
1.  不涉及安全问题的 bug。包括但不限于产品功能缺陷、页面乱码、样式混编等。
2.  无法重现的漏洞、不能直接体现漏洞的其他问题。包括但不限于纯属用户猜测的问
    题。

评分标准通用原则：
1.  评分标准仅适用于 UCloud 所有产品和服务。域名包括但不限于*.ucloud.cn，服务器
    包括 UCloud 运营的服务器，产品为 UCloud 发布的移动端产品。
2.  漏洞奖励仅限于在 UCloud 安全响应中心上提交的漏洞，在其它平台上提交过的不计
    分。
3.  提交网上已经公开的漏洞不计分。
4.  同一漏洞最早提交者得分。
5.  同一漏洞源的多个漏洞仅记为 1 个。
6.  对于同一个链接 url，如果多个参数存在类似的漏洞，按一个漏洞积分，同一链接不同
    类型的，按危害程度最大的给出奖励。
7.  对于移动终端系统导致的通用型漏洞，比如 webkit 的 uxss、代码执行等等，仅给首
    个漏洞报告者奖励，对于其它产品的同个漏洞报告，均不再计算。

8.  各漏洞的最终得分由漏洞利用难易程度、危害大小及影响范围综合考虑决定。有可能
    出现漏洞等级低的漏洞积分高于漏洞等级高的漏洞。
9.  请各位白帽子在反馈漏洞时提供 poc/exploit，并提供相应的漏洞分析，以加快管理员
    处理速度，对于 poc 或 exploit 未提供或者没有详细分析的漏洞提交将可能直接影响
    奖励。

奖金发放流程 ：
USRC 工作人员与白帽子协商发放礼品的时间及方式。
争议解决办法 ：
在漏洞处理过程中，如果报告者对漏洞评定、漏洞评分等具有异议的，请及时联系管理员
沟通。UCloud 安全应急响应中心将根据漏洞报告者利益优先的原则进行处理，必要时可
引入外部权威人士共同裁定。