完美世界安全应急响应中心
pw域名 时间:2021-01-04 阅读:()
漏洞反馈处理流程与奖励说明2页共6页版本号修订内容发布日期V1.
0发布第一版2017-12-20V1.
1完善评分原则2018-1-173页共6页目录1.
基本原则.
42.
适用范围.
43.
反馈流程.
44.
安全漏洞评分标准.
45.
安全漏洞奖励标准.
56.
安全漏洞评分原则.
67.
争议解决办法.
64页共6页1.
基本原则1、作为一个负责任的互联网企业,我们深知数据安全的重要性,对于提交有效漏洞的白帽子们,我们将报以由衷的感谢和回馈.
我们希望通过此平台与白帽子和安全爱好者建立良好的关系,共同为完美安全添砖加瓦.
2、关于漏洞测试,请以不影响其他正常用户的方式进行.
例如在测试越权、XSS等漏洞时,可注册多个账号进行测试.
若无意中改动到了正常用户的信息,请及时告知我们.
另外如可能导致系统或业务中断,或可能会造成大面积传播的漏洞不允许进行测试.
3、在已经能够证明漏洞存在的情况下,不允许利用安全漏洞进行破坏、损害用户利益的黑客行为.
例如在上传WebShell后下载服务器数据,或SQL注入时,在已经能够证明SQL注入存在的情况下,仍然大量获取用户数据等行为.
原则上SQL注入时获取的用户数据不要超过30组.
4、对于测试内容,请不要向PWSRC之外的任何人或机构提交.
一经发现,PWSRC有权取消奖励并根据具体情节追究相关责任.
2.
适用范围本流程适用于公司内部及外部人员,但公司内部人员与职务/工作职责相关的漏洞发现除外.
3.
反馈流程您可以通过PWSRC平台(http://security.
wanmei.
com)直接报告漏洞.
也可将漏洞详情发送至漏洞接收邮箱:src@pwrd.
com4.
安全漏洞评分标准根据漏洞对公司整体业务的影响程度将漏洞等级分为【严重】、【高危】、【中危】、【低危】、【忽略】五个等级.
每种等级认定标准如下:【严重】核心应用系统中的高危漏洞,例如:1、直接获取核心系统服务器权限的漏洞.
包括但不仅限于核心系统服务器的任5页共6页意命令执行、上传获取WebShell、SQL注入获取系统权限等;2、严重的逻辑设计缺陷.
包括但不仅限于任意账号登陆、任意账号密码修改、任意账号资金消费;3、严重的敏感信息泄露.
包括但不仅限于重要数据的SQL注入(例如重要的账号密码)、包含敏感信息的源文件压缩包泄露;【高危】非核心应用系统中的高危漏洞,例如:1、高风险的信息泄露,包括但不限于可以获取一般数据的SQL注入漏洞、源代码泄露以及任意文件读取和下载漏洞等;2、越权访问,包括但不限于绕过验证直接访问后台、后台登录弱口令、以及其它服务的弱口令等;【中危】1、需交互才能影响用户的漏洞.
包括但不限于能够造成切实危害的存储型XSS;2、普通信息泄露.
包括但不仅限于获取用户敏感信息、WEB层的路径遍历等;3、普通越权操作.
包括但不仅限于越权查看非核心的信息、记录等;4、普通逻辑设计缺陷.
包括但不仅限于短信验证绕过、邮件验证绕过.
【低危】1、有一定价值的轻微信息泄露.
比如phpinfo、测试数据泄露等;2、逻辑设计缺陷.
包括但不仅限于图形验证码绕过;3、有一定轻微影响的CSRF,反射型XSS、URL跳转漏洞等.
【忽略】1、不涉及安全问题的BUG.
包括但不仅限于网页乱码、无意义的测试页面等;2、其它类型的问题,包含但不仅限于用户名爆破、有条件的URL跳转、没有回显且没有内网探测证明的SSRF、Self-XSS、无敏感操作的CSRF、无意义的信息泄露、跨域策略文件(crossdomain.
xml)、无敏感信息的.
htaccess、web.
config文件等.
5.
安全漏洞奖励标准每个漏洞所得积分=业务等级系数*漏洞积分系数.
由完美世界安全应急响应中心结合利用场景中漏洞的严重程度、利用难度、影响范围和提交者关于漏洞描述的详细程度等综合因素进行漏洞评级,并给予相应积分.
6页共6页注:1积分=5RMB.
具体积分奖励情况请参考下图:漏洞等级与积分系数业务等级系数严重(80-90)高危(40-45)中危(10-12)低危(1-3)高(4-5)320-450160–22540–604–15中(2-3)160-27080-13520–362–9低180-9040-4510–121–36.
安全漏洞评分原则1、评分标准适用于完美世界的所有产品和服务.
包括完美世界各PC、移动和web端的网游等.
其中核心应用域名如下:wanmei.
com、laohu.
com、csgo.
com.
cn、dota2.
com.
cn2、从2018年1月17日开始,我们将不再接收星游传媒相关域名,包含但不限于:stargame.
com、178.
com、tgbus.
com、a9vg.
com、dospy.
com、nga.
cn、ngacn.
cc、ptbus.
com、766.
com、xyous.
com等3、针对完美世界使用的第三方系统,或与我们相关的一些边缘业务.
我们可能将不完全按照上述评分标准,而是根据业务实际运营情况及所涉及的业务数据进行综合评分.
4、同一漏洞最早提交者得分,在其它平台上提交过的不计分,与完美世界无关的漏洞不计分.
5、同一漏洞源引起的多个问题仅记录为1个(按引起的最高风险问题计算).
7.
争议解决办法在漏洞报告处理过程中,如果报告者对流程处理、漏洞定级、漏洞评分等有异议的,可以通过src@pwrd.
com与工作人员及时沟通.
0发布第一版2017-12-20V1.
1完善评分原则2018-1-173页共6页目录1.
基本原则.
42.
适用范围.
43.
反馈流程.
44.
安全漏洞评分标准.
45.
安全漏洞奖励标准.
56.
安全漏洞评分原则.
67.
争议解决办法.
64页共6页1.
基本原则1、作为一个负责任的互联网企业,我们深知数据安全的重要性,对于提交有效漏洞的白帽子们,我们将报以由衷的感谢和回馈.
我们希望通过此平台与白帽子和安全爱好者建立良好的关系,共同为完美安全添砖加瓦.
2、关于漏洞测试,请以不影响其他正常用户的方式进行.
例如在测试越权、XSS等漏洞时,可注册多个账号进行测试.
若无意中改动到了正常用户的信息,请及时告知我们.
另外如可能导致系统或业务中断,或可能会造成大面积传播的漏洞不允许进行测试.
3、在已经能够证明漏洞存在的情况下,不允许利用安全漏洞进行破坏、损害用户利益的黑客行为.
例如在上传WebShell后下载服务器数据,或SQL注入时,在已经能够证明SQL注入存在的情况下,仍然大量获取用户数据等行为.
原则上SQL注入时获取的用户数据不要超过30组.
4、对于测试内容,请不要向PWSRC之外的任何人或机构提交.
一经发现,PWSRC有权取消奖励并根据具体情节追究相关责任.
2.
适用范围本流程适用于公司内部及外部人员,但公司内部人员与职务/工作职责相关的漏洞发现除外.
3.
反馈流程您可以通过PWSRC平台(http://security.
wanmei.
com)直接报告漏洞.
也可将漏洞详情发送至漏洞接收邮箱:src@pwrd.
com4.
安全漏洞评分标准根据漏洞对公司整体业务的影响程度将漏洞等级分为【严重】、【高危】、【中危】、【低危】、【忽略】五个等级.
每种等级认定标准如下:【严重】核心应用系统中的高危漏洞,例如:1、直接获取核心系统服务器权限的漏洞.
包括但不仅限于核心系统服务器的任5页共6页意命令执行、上传获取WebShell、SQL注入获取系统权限等;2、严重的逻辑设计缺陷.
包括但不仅限于任意账号登陆、任意账号密码修改、任意账号资金消费;3、严重的敏感信息泄露.
包括但不仅限于重要数据的SQL注入(例如重要的账号密码)、包含敏感信息的源文件压缩包泄露;【高危】非核心应用系统中的高危漏洞,例如:1、高风险的信息泄露,包括但不限于可以获取一般数据的SQL注入漏洞、源代码泄露以及任意文件读取和下载漏洞等;2、越权访问,包括但不限于绕过验证直接访问后台、后台登录弱口令、以及其它服务的弱口令等;【中危】1、需交互才能影响用户的漏洞.
包括但不限于能够造成切实危害的存储型XSS;2、普通信息泄露.
包括但不仅限于获取用户敏感信息、WEB层的路径遍历等;3、普通越权操作.
包括但不仅限于越权查看非核心的信息、记录等;4、普通逻辑设计缺陷.
包括但不仅限于短信验证绕过、邮件验证绕过.
【低危】1、有一定价值的轻微信息泄露.
比如phpinfo、测试数据泄露等;2、逻辑设计缺陷.
包括但不仅限于图形验证码绕过;3、有一定轻微影响的CSRF,反射型XSS、URL跳转漏洞等.
【忽略】1、不涉及安全问题的BUG.
包括但不仅限于网页乱码、无意义的测试页面等;2、其它类型的问题,包含但不仅限于用户名爆破、有条件的URL跳转、没有回显且没有内网探测证明的SSRF、Self-XSS、无敏感操作的CSRF、无意义的信息泄露、跨域策略文件(crossdomain.
xml)、无敏感信息的.
htaccess、web.
config文件等.
5.
安全漏洞奖励标准每个漏洞所得积分=业务等级系数*漏洞积分系数.
由完美世界安全应急响应中心结合利用场景中漏洞的严重程度、利用难度、影响范围和提交者关于漏洞描述的详细程度等综合因素进行漏洞评级,并给予相应积分.
6页共6页注:1积分=5RMB.
具体积分奖励情况请参考下图:漏洞等级与积分系数业务等级系数严重(80-90)高危(40-45)中危(10-12)低危(1-3)高(4-5)320-450160–22540–604–15中(2-3)160-27080-13520–362–9低180-9040-4510–121–36.
安全漏洞评分原则1、评分标准适用于完美世界的所有产品和服务.
包括完美世界各PC、移动和web端的网游等.
其中核心应用域名如下:wanmei.
com、laohu.
com、csgo.
com.
cn、dota2.
com.
cn2、从2018年1月17日开始,我们将不再接收星游传媒相关域名,包含但不限于:stargame.
com、178.
com、tgbus.
com、a9vg.
com、dospy.
com、nga.
cn、ngacn.
cc、ptbus.
com、766.
com、xyous.
com等3、针对完美世界使用的第三方系统,或与我们相关的一些边缘业务.
我们可能将不完全按照上述评分标准,而是根据业务实际运营情况及所涉及的业务数据进行综合评分.
4、同一漏洞最早提交者得分,在其它平台上提交过的不计分,与完美世界无关的漏洞不计分.
5、同一漏洞源引起的多个问题仅记录为1个(按引起的最高风险问题计算).
7.
争议解决办法在漏洞报告处理过程中,如果报告者对流程处理、漏洞定级、漏洞评分等有异议的,可以通过src@pwrd.
com与工作人员及时沟通.
- 完美世界安全应急响应中心相关文档
- 设置pw域名
- 天津中医药栽蚤葬灶躁蚤灶
- 电视台pw域名
- 寄存器pw域名
- 交换机pw域名
- 全国计算机等级考试网上报名操作指南
Raksmart VPS主机如何设置取消自动续费
今天有看到Raksmart账户中有一台VPS主机即将到期,这台机器之前是用来测试评测使用的。这里有不打算续费,这不面对万一导致被自动续费忘记,所以我还是取消自动续费设置。如果我们也有类似的问题,这里就演示截图设置Raksmart取消自动续费。这里我们可以看到上图,在对应VPS主机的【其余操作】中可以看到默认已经是不自动续费,所以我们也不要担心被自动续费的。当然,如果有被自动续费,我们确实不想续费的...
BlueHost 周年庆典 - 美国/香港虚拟主机 美国SSD VPS低至月32元
我们对于BlueHost主机商还是比较熟悉的,早年我们还是全民使用虚拟主机的时候,大部分的外贸主机都会用到BlueHost无限虚拟主机方案,那时候他们商家只有一款虚拟主机方案。目前,商家国际款和国内款是有差异营销的,BlueHost国内有提供香港、美国、印度和欧洲机房。包括有提供虚拟主机、VPS和独立服务器。现在,BlueHost 商家周年活动,全场五折优惠。我们看看这次的活动有哪些值得选择的。 ...
JUSTG提供俄罗斯和南非CN2 GIA主机年$49.99美元JUSTGgia南非cn2南非CN2justG
JUSTG,这个主机商第二个接触到,之前是有介绍到有提供俄罗斯CN2 GIA VPS主机活动的,商家成立时间不久看信息是2020年,公司隶属于一家叫AFRICA CLOUD LIMITED的公司,提供的产品为基于KVM架构VPS主机,数据中心在非洲(南非)、俄罗斯(莫斯科),国内访问双向CN2,线路质量不错。有很多服务商实际上都是国人背景的,有的用英文、繁体搭建的冒充老外,这个服务商不清楚是不是真...
pw域名为你推荐
-
域名“域名”是什么意思?电信主机租用主机代管有什么特点?免费云主机求一个免费的云主机?免费国内空间中国有什么免费的空间成都虚拟空间虚拟主机哪家最好~~~虚拟空间免费试用目前哪里有免费试用的虚拟主机 或者服务器用啊?网站空间商域名空间商怎么做万网虚拟主机万网云虚拟主机怎么用,如何配置北京虚拟主机租用北京云主机租用哪家资质正规,价格便宜,服务好?要真云主机不要那种vps的假云主机,机房要在北京的!云南虚拟主机大家觉得云南天成科技服务器租用给力吗?