完美世界安全应急响应中心
pw域名 时间:2021-01-04 阅读:()
漏洞反馈处理流程与奖励说明2页共6页版本号修订内容发布日期V1.
0发布第一版2017-12-20V1.
1完善评分原则2018-1-173页共6页目录1.
基本原则.
42.
适用范围.
43.
反馈流程.
44.
安全漏洞评分标准.
45.
安全漏洞奖励标准.
56.
安全漏洞评分原则.
67.
争议解决办法.
64页共6页1.
基本原则1、作为一个负责任的互联网企业,我们深知数据安全的重要性,对于提交有效漏洞的白帽子们,我们将报以由衷的感谢和回馈.
我们希望通过此平台与白帽子和安全爱好者建立良好的关系,共同为完美安全添砖加瓦.
2、关于漏洞测试,请以不影响其他正常用户的方式进行.
例如在测试越权、XSS等漏洞时,可注册多个账号进行测试.
若无意中改动到了正常用户的信息,请及时告知我们.
另外如可能导致系统或业务中断,或可能会造成大面积传播的漏洞不允许进行测试.
3、在已经能够证明漏洞存在的情况下,不允许利用安全漏洞进行破坏、损害用户利益的黑客行为.
例如在上传WebShell后下载服务器数据,或SQL注入时,在已经能够证明SQL注入存在的情况下,仍然大量获取用户数据等行为.
原则上SQL注入时获取的用户数据不要超过30组.
4、对于测试内容,请不要向PWSRC之外的任何人或机构提交.
一经发现,PWSRC有权取消奖励并根据具体情节追究相关责任.
2.
适用范围本流程适用于公司内部及外部人员,但公司内部人员与职务/工作职责相关的漏洞发现除外.
3.
反馈流程您可以通过PWSRC平台(http://security.
wanmei.
com)直接报告漏洞.
也可将漏洞详情发送至漏洞接收邮箱:src@pwrd.
com4.
安全漏洞评分标准根据漏洞对公司整体业务的影响程度将漏洞等级分为【严重】、【高危】、【中危】、【低危】、【忽略】五个等级.
每种等级认定标准如下:【严重】核心应用系统中的高危漏洞,例如:1、直接获取核心系统服务器权限的漏洞.
包括但不仅限于核心系统服务器的任5页共6页意命令执行、上传获取WebShell、SQL注入获取系统权限等;2、严重的逻辑设计缺陷.
包括但不仅限于任意账号登陆、任意账号密码修改、任意账号资金消费;3、严重的敏感信息泄露.
包括但不仅限于重要数据的SQL注入(例如重要的账号密码)、包含敏感信息的源文件压缩包泄露;【高危】非核心应用系统中的高危漏洞,例如:1、高风险的信息泄露,包括但不限于可以获取一般数据的SQL注入漏洞、源代码泄露以及任意文件读取和下载漏洞等;2、越权访问,包括但不限于绕过验证直接访问后台、后台登录弱口令、以及其它服务的弱口令等;【中危】1、需交互才能影响用户的漏洞.
包括但不限于能够造成切实危害的存储型XSS;2、普通信息泄露.
包括但不仅限于获取用户敏感信息、WEB层的路径遍历等;3、普通越权操作.
包括但不仅限于越权查看非核心的信息、记录等;4、普通逻辑设计缺陷.
包括但不仅限于短信验证绕过、邮件验证绕过.
【低危】1、有一定价值的轻微信息泄露.
比如phpinfo、测试数据泄露等;2、逻辑设计缺陷.
包括但不仅限于图形验证码绕过;3、有一定轻微影响的CSRF,反射型XSS、URL跳转漏洞等.
【忽略】1、不涉及安全问题的BUG.
包括但不仅限于网页乱码、无意义的测试页面等;2、其它类型的问题,包含但不仅限于用户名爆破、有条件的URL跳转、没有回显且没有内网探测证明的SSRF、Self-XSS、无敏感操作的CSRF、无意义的信息泄露、跨域策略文件(crossdomain.
xml)、无敏感信息的.
htaccess、web.
config文件等.
5.
安全漏洞奖励标准每个漏洞所得积分=业务等级系数*漏洞积分系数.
由完美世界安全应急响应中心结合利用场景中漏洞的严重程度、利用难度、影响范围和提交者关于漏洞描述的详细程度等综合因素进行漏洞评级,并给予相应积分.
6页共6页注:1积分=5RMB.
具体积分奖励情况请参考下图:漏洞等级与积分系数业务等级系数严重(80-90)高危(40-45)中危(10-12)低危(1-3)高(4-5)320-450160–22540–604–15中(2-3)160-27080-13520–362–9低180-9040-4510–121–36.
安全漏洞评分原则1、评分标准适用于完美世界的所有产品和服务.
包括完美世界各PC、移动和web端的网游等.
其中核心应用域名如下:wanmei.
com、laohu.
com、csgo.
com.
cn、dota2.
com.
cn2、从2018年1月17日开始,我们将不再接收星游传媒相关域名,包含但不限于:stargame.
com、178.
com、tgbus.
com、a9vg.
com、dospy.
com、nga.
cn、ngacn.
cc、ptbus.
com、766.
com、xyous.
com等3、针对完美世界使用的第三方系统,或与我们相关的一些边缘业务.
我们可能将不完全按照上述评分标准,而是根据业务实际运营情况及所涉及的业务数据进行综合评分.
4、同一漏洞最早提交者得分,在其它平台上提交过的不计分,与完美世界无关的漏洞不计分.
5、同一漏洞源引起的多个问题仅记录为1个(按引起的最高风险问题计算).
7.
争议解决办法在漏洞报告处理过程中,如果报告者对流程处理、漏洞定级、漏洞评分等有异议的,可以通过src@pwrd.
com与工作人员及时沟通.
0发布第一版2017-12-20V1.
1完善评分原则2018-1-173页共6页目录1.
基本原则.
42.
适用范围.
43.
反馈流程.
44.
安全漏洞评分标准.
45.
安全漏洞奖励标准.
56.
安全漏洞评分原则.
67.
争议解决办法.
64页共6页1.
基本原则1、作为一个负责任的互联网企业,我们深知数据安全的重要性,对于提交有效漏洞的白帽子们,我们将报以由衷的感谢和回馈.
我们希望通过此平台与白帽子和安全爱好者建立良好的关系,共同为完美安全添砖加瓦.
2、关于漏洞测试,请以不影响其他正常用户的方式进行.
例如在测试越权、XSS等漏洞时,可注册多个账号进行测试.
若无意中改动到了正常用户的信息,请及时告知我们.
另外如可能导致系统或业务中断,或可能会造成大面积传播的漏洞不允许进行测试.
3、在已经能够证明漏洞存在的情况下,不允许利用安全漏洞进行破坏、损害用户利益的黑客行为.
例如在上传WebShell后下载服务器数据,或SQL注入时,在已经能够证明SQL注入存在的情况下,仍然大量获取用户数据等行为.
原则上SQL注入时获取的用户数据不要超过30组.
4、对于测试内容,请不要向PWSRC之外的任何人或机构提交.
一经发现,PWSRC有权取消奖励并根据具体情节追究相关责任.
2.
适用范围本流程适用于公司内部及外部人员,但公司内部人员与职务/工作职责相关的漏洞发现除外.
3.
反馈流程您可以通过PWSRC平台(http://security.
wanmei.
com)直接报告漏洞.
也可将漏洞详情发送至漏洞接收邮箱:src@pwrd.
com4.
安全漏洞评分标准根据漏洞对公司整体业务的影响程度将漏洞等级分为【严重】、【高危】、【中危】、【低危】、【忽略】五个等级.
每种等级认定标准如下:【严重】核心应用系统中的高危漏洞,例如:1、直接获取核心系统服务器权限的漏洞.
包括但不仅限于核心系统服务器的任5页共6页意命令执行、上传获取WebShell、SQL注入获取系统权限等;2、严重的逻辑设计缺陷.
包括但不仅限于任意账号登陆、任意账号密码修改、任意账号资金消费;3、严重的敏感信息泄露.
包括但不仅限于重要数据的SQL注入(例如重要的账号密码)、包含敏感信息的源文件压缩包泄露;【高危】非核心应用系统中的高危漏洞,例如:1、高风险的信息泄露,包括但不限于可以获取一般数据的SQL注入漏洞、源代码泄露以及任意文件读取和下载漏洞等;2、越权访问,包括但不限于绕过验证直接访问后台、后台登录弱口令、以及其它服务的弱口令等;【中危】1、需交互才能影响用户的漏洞.
包括但不限于能够造成切实危害的存储型XSS;2、普通信息泄露.
包括但不仅限于获取用户敏感信息、WEB层的路径遍历等;3、普通越权操作.
包括但不仅限于越权查看非核心的信息、记录等;4、普通逻辑设计缺陷.
包括但不仅限于短信验证绕过、邮件验证绕过.
【低危】1、有一定价值的轻微信息泄露.
比如phpinfo、测试数据泄露等;2、逻辑设计缺陷.
包括但不仅限于图形验证码绕过;3、有一定轻微影响的CSRF,反射型XSS、URL跳转漏洞等.
【忽略】1、不涉及安全问题的BUG.
包括但不仅限于网页乱码、无意义的测试页面等;2、其它类型的问题,包含但不仅限于用户名爆破、有条件的URL跳转、没有回显且没有内网探测证明的SSRF、Self-XSS、无敏感操作的CSRF、无意义的信息泄露、跨域策略文件(crossdomain.
xml)、无敏感信息的.
htaccess、web.
config文件等.
5.
安全漏洞奖励标准每个漏洞所得积分=业务等级系数*漏洞积分系数.
由完美世界安全应急响应中心结合利用场景中漏洞的严重程度、利用难度、影响范围和提交者关于漏洞描述的详细程度等综合因素进行漏洞评级,并给予相应积分.
6页共6页注:1积分=5RMB.
具体积分奖励情况请参考下图:漏洞等级与积分系数业务等级系数严重(80-90)高危(40-45)中危(10-12)低危(1-3)高(4-5)320-450160–22540–604–15中(2-3)160-27080-13520–362–9低180-9040-4510–121–36.
安全漏洞评分原则1、评分标准适用于完美世界的所有产品和服务.
包括完美世界各PC、移动和web端的网游等.
其中核心应用域名如下:wanmei.
com、laohu.
com、csgo.
com.
cn、dota2.
com.
cn2、从2018年1月17日开始,我们将不再接收星游传媒相关域名,包含但不限于:stargame.
com、178.
com、tgbus.
com、a9vg.
com、dospy.
com、nga.
cn、ngacn.
cc、ptbus.
com、766.
com、xyous.
com等3、针对完美世界使用的第三方系统,或与我们相关的一些边缘业务.
我们可能将不完全按照上述评分标准,而是根据业务实际运营情况及所涉及的业务数据进行综合评分.
4、同一漏洞最早提交者得分,在其它平台上提交过的不计分,与完美世界无关的漏洞不计分.
5、同一漏洞源引起的多个问题仅记录为1个(按引起的最高风险问题计算).
7.
争议解决办法在漏洞报告处理过程中,如果报告者对流程处理、漏洞定级、漏洞评分等有异议的,可以通过src@pwrd.
com与工作人员及时沟通.
- 完美世界安全应急响应中心相关文档
- 设置pw域名
- 天津中医药栽蚤葬灶躁蚤灶
- 电视台pw域名
- 寄存器pw域名
- 交换机pw域名
- 全国计算机等级考试网上报名操作指南
pacificrack:$12/年-1G内存/1核/20gSSD/500g流量/1Gbps带宽
pacificrack在最新的7月促销里面增加了2个更加便宜的,一个月付1.5美元,一个年付12美元,带宽都是1Gbps。整个系列都是PR-M,也就是魔方的后台管理。2G内存起步的支持Windows 7、10、Server 2003\2008\2012\2016\2019以及常规版本的Linux!官方网站:https://pacificrack.com支持PayPal、支付宝等方式付款7月秒杀VP...
云如故枣庄高防(49元)大内存2H2G49元8H8G109元
云如故是一家成立于2018年的国内企业IDC服务商,由山东云如故网络科技有限公司运营,IDC ICP ISP CDN VPN IRCS等证件齐全!合法运营销售,主要从事自营高防独立服务器、物理机、VPS、云服务器,虚拟主机等产品销售,适合高防稳定等需求的用户,可用于建站、游戏、商城、steam、APP、小程序、软件、资料存储等等各种个人及企业级用途。机房可封UDP 海外 支持策略定制 双层硬件(傲...
95IDC香港特价物理机服务器月付299元起,5个ip/BGP+CN2线路;美国CERA服务器仅499元/月起
95idc是一家香港公司,主要产品香港GIA线路沙田CN2线路独服,美国CERA高防服务器,日本CN2直连服务器,即日起,购买香港/日本云主机,在今年3月份,95IDC推出来一款香港物理机/香港多ip站群服务器,BGP+CN2线路终身7折,月付350元起。不过今天,推荐一个价格更美的香港物理机,5个ip,BGP+CN2线路,月付299元起,有需要的,可以关注一下。95idc优惠码:优惠码:596J...
pw域名为你推荐
-
服务器空间租用租用空间租用服务器一样吗域名备案查询如何查询自己域名是否备案,怎么查询备案号?info域名注册百度还收录新注册的info域名吗?便宜的虚拟主机免费、便宜的虚拟主机哪里有?要好用的 ,速度快的域名备案什么是域名备案?100m网站空间50M的网页内容买100M的网站空间够用了没?什么是虚拟主机虚拟主机是什么?虚拟主机评测网请问这几个哪个虚拟主机好万网虚拟主机如何购买万网的虚拟主机?下载虚拟主机虚拟机下载完之后如何安装