13
Jul

UCloud SRC奖励标准V1.0

文 / UCloud 公关部

根据漏洞的危害程度将漏洞等级分为【严重】、【高】、【中】、【低】、【无】五个等级。
由USRC结合利用场景中漏洞的严重程度、利用难度等综合因素给予相应的奖励,每种等级包含的评分标准及漏洞类型如下:

一、漏洞评分标准

以下评分规则仅做为评分的主要参考,在实际评分中我们会充分考虑影响范围、危害程序、产品特点等因素综合进行评分。

【严重】
¥3000RMB
1.直接导致系统业务拒绝服务的漏洞。包括但不仅限于网站应用拒绝服务造成严重影响的远程拒绝服务漏洞那个、产品远程可利用拒绝服务漏洞;
2.直接获取系统权限的漏洞(服务器权限、重要产品超级管理员权限),包括但不仅限于远程命令执行、上传webshell、SQL注入获取系统权限、可利用远程缓冲区溢出、可利用的内核代码执行漏洞;
3.系统的严重敏感信息泄露。包括但仅不限于DB(身份信息相关)的SQL注入漏洞,可获取大量用户的身份信息、银行卡信息、密码信息;
4.系统中严重逻辑设计缺陷和流程缺陷,包括但不限于通过业务接口批量发送任意伪造消息、任意账号资金消费、批量修改任意账号密码漏洞;

【高危】
¥1500
1.敏感信息泄漏。包括但不仅限于后台弱密码、非核心DB SQL注入、服务器应用加密可逆或明文、硬编码、存储型XSS等问题引起的敏感信息泄露;
2.越权访问,包括但不仅限于敏感管理后台登陆、账号越权修改重要信息、重要业务配置修改、任意访问重要文件、绕过认证直接访问管理后台等较为重要的越权行为;
3.大范围影响用户的其他漏洞。包括但不仅限于可造成自动传播的重要页面的存储型XSS(包括存储型DOM-XSS)、小范围或非核心业务的拒绝服务攻击;
4.直接导致资金损失的漏洞。包括但不限于绕过合理计费直接使用产品、用户修改交易信息付费造成财产损失;

【中危】
¥100
1.需交互方可影响用户的漏洞。包括但不仅限于一般页面的存储型XSS、反射型 XSS(包括反射型 DOM-XSS)、重要操作CSRF、URL跳转漏洞;
2.普通信息泄漏。包括但不仅限于客户端明文存储密码、客户端密码明文传输以及web 路径遍历、系统路径遍历、源代码压缩包泄漏;
3. 普通的逻辑设计缺陷和流程缺陷。(例如绕过实名认证);
4.普通越权操作。包括但不限于越权操作非敏感信息/非重要业务;

【低危】
¥50
1.本地拒绝服务漏洞。包括但不仅限于解析文件格式、网络协议产生的崩溃、普通应用权限引起的问题、缓冲区溢出等;
2.轻微信息泄漏漏洞。包括但不限于phpinfo、logcat 敏感信息泄漏、异常信息泄露、配置信息;
3.难以利用但又可能存在安全隐患的问题。包括但不限于难以利用的 SQL 注入点、可引起传播和利用的 Self-XSS、需构造部分参数且有一定影响的 CSRF;

【无】
¥0
1.与安全无关的bug,包括但是不仅限于产品功能缺陷、网页乱码、某些功能无法使用等;
2、不会直接带来影响的安全问题。包括但是不限于无实际意义的扫描报告、无意义的源码泄露、无敏感信息的信息泄露、内网IP/域名泄露、无敏感操作的CSRF、Self-XSS,https情况下需要借助中间人才能实现的漏洞;
3.无法重现的漏洞、不能直接体现漏洞的其他问题。包括但不限于只有“简单概述”的漏洞,纯属用户猜测、未经验证的问题;
4.非Ucloud业务漏洞;
5.暴力破解、速率限制、限速节流导致漏洞

通用评分原则
1.奖励标准仅针对Ucloud产品和业务有影响的威胁情报。域名包括但不限于*.ucloud.cn,Ucloud发布的产品,对Ucloud业务安全无影响的威胁情报,不计入贡献;
2.对于非Ucloud直接发布的业务或Ucloud第三方平台,不计入贡献;
3.由同一个漏洞源产生的多个漏洞一般计漏洞数量为一个,如提交问题已修复但其他位置仍存在该问题则重新计入贡献; 同一个域名的同类问题在七个工作日内重复提交,只计第一个;
4.同一漏洞只对最早提交者计算贡献,在其它平台上提交过的不计入贡献,提交在其他漏洞披露平台已提交的漏洞不计分;
5.提交外界已经公开的漏洞不计入贡献;
6.第三方库导致的漏洞只给第一个提交者计贡献值,等级不高于【中】,且不保证修复时长;不同版本的同一处漏洞视为相同漏洞;
7.各等级漏洞的最终贡献值数量由漏洞利用难度及影响范围等综合因素决定,若漏洞触发条件非常苛刻,则可降低漏洞等级;
8.厂商已知漏洞不重复计算贡献值,漏洞提交后厂商会迅速是否为已知漏洞,并给出回应;
9.以安全测试为借口,利用情报信息进行损害用户利益、影响业务正常运作、修复前公开、盗取用户数据等行为的,将不会计分,同时保留采取进一步法律行动的权利;
10. 已经报告给其他第三方的漏洞,不在给予奖励;