完美世界安全应急响应中心
pw域名 时间:2021-01-04 阅读:()
漏洞反馈处理流程与奖励说明2页共6页版本号修订内容发布日期V1.
0发布第一版2017-12-20V1.
1完善评分原则2018-1-173页共6页目录1.
基本原则.
42.
适用范围.
43.
反馈流程.
44.
安全漏洞评分标准.
45.
安全漏洞奖励标准.
56.
安全漏洞评分原则.
67.
争议解决办法.
64页共6页1.
基本原则1、作为一个负责任的互联网企业,我们深知数据安全的重要性,对于提交有效漏洞的白帽子们,我们将报以由衷的感谢和回馈.
我们希望通过此平台与白帽子和安全爱好者建立良好的关系,共同为完美安全添砖加瓦.
2、关于漏洞测试,请以不影响其他正常用户的方式进行.
例如在测试越权、XSS等漏洞时,可注册多个账号进行测试.
若无意中改动到了正常用户的信息,请及时告知我们.
另外如可能导致系统或业务中断,或可能会造成大面积传播的漏洞不允许进行测试.
3、在已经能够证明漏洞存在的情况下,不允许利用安全漏洞进行破坏、损害用户利益的黑客行为.
例如在上传WebShell后下载服务器数据,或SQL注入时,在已经能够证明SQL注入存在的情况下,仍然大量获取用户数据等行为.
原则上SQL注入时获取的用户数据不要超过30组.
4、对于测试内容,请不要向PWSRC之外的任何人或机构提交.
一经发现,PWSRC有权取消奖励并根据具体情节追究相关责任.
2.
适用范围本流程适用于公司内部及外部人员,但公司内部人员与职务/工作职责相关的漏洞发现除外.
3.
反馈流程您可以通过PWSRC平台(http://security.
wanmei.
com)直接报告漏洞.
也可将漏洞详情发送至漏洞接收邮箱:src@pwrd.
com4.
安全漏洞评分标准根据漏洞对公司整体业务的影响程度将漏洞等级分为【严重】、【高危】、【中危】、【低危】、【忽略】五个等级.
每种等级认定标准如下:【严重】核心应用系统中的高危漏洞,例如:1、直接获取核心系统服务器权限的漏洞.
包括但不仅限于核心系统服务器的任5页共6页意命令执行、上传获取WebShell、SQL注入获取系统权限等;2、严重的逻辑设计缺陷.
包括但不仅限于任意账号登陆、任意账号密码修改、任意账号资金消费;3、严重的敏感信息泄露.
包括但不仅限于重要数据的SQL注入(例如重要的账号密码)、包含敏感信息的源文件压缩包泄露;【高危】非核心应用系统中的高危漏洞,例如:1、高风险的信息泄露,包括但不限于可以获取一般数据的SQL注入漏洞、源代码泄露以及任意文件读取和下载漏洞等;2、越权访问,包括但不限于绕过验证直接访问后台、后台登录弱口令、以及其它服务的弱口令等;【中危】1、需交互才能影响用户的漏洞.
包括但不限于能够造成切实危害的存储型XSS;2、普通信息泄露.
包括但不仅限于获取用户敏感信息、WEB层的路径遍历等;3、普通越权操作.
包括但不仅限于越权查看非核心的信息、记录等;4、普通逻辑设计缺陷.
包括但不仅限于短信验证绕过、邮件验证绕过.
【低危】1、有一定价值的轻微信息泄露.
比如phpinfo、测试数据泄露等;2、逻辑设计缺陷.
包括但不仅限于图形验证码绕过;3、有一定轻微影响的CSRF,反射型XSS、URL跳转漏洞等.
【忽略】1、不涉及安全问题的BUG.
包括但不仅限于网页乱码、无意义的测试页面等;2、其它类型的问题,包含但不仅限于用户名爆破、有条件的URL跳转、没有回显且没有内网探测证明的SSRF、Self-XSS、无敏感操作的CSRF、无意义的信息泄露、跨域策略文件(crossdomain.
xml)、无敏感信息的.
htaccess、web.
config文件等.
5.
安全漏洞奖励标准每个漏洞所得积分=业务等级系数*漏洞积分系数.
由完美世界安全应急响应中心结合利用场景中漏洞的严重程度、利用难度、影响范围和提交者关于漏洞描述的详细程度等综合因素进行漏洞评级,并给予相应积分.
6页共6页注:1积分=5RMB.
具体积分奖励情况请参考下图:漏洞等级与积分系数业务等级系数严重(80-90)高危(40-45)中危(10-12)低危(1-3)高(4-5)320-450160–22540–604–15中(2-3)160-27080-13520–362–9低180-9040-4510–121–36.
安全漏洞评分原则1、评分标准适用于完美世界的所有产品和服务.
包括完美世界各PC、移动和web端的网游等.
其中核心应用域名如下:wanmei.
com、laohu.
com、csgo.
com.
cn、dota2.
com.
cn2、从2018年1月17日开始,我们将不再接收星游传媒相关域名,包含但不限于:stargame.
com、178.
com、tgbus.
com、a9vg.
com、dospy.
com、nga.
cn、ngacn.
cc、ptbus.
com、766.
com、xyous.
com等3、针对完美世界使用的第三方系统,或与我们相关的一些边缘业务.
我们可能将不完全按照上述评分标准,而是根据业务实际运营情况及所涉及的业务数据进行综合评分.
4、同一漏洞最早提交者得分,在其它平台上提交过的不计分,与完美世界无关的漏洞不计分.
5、同一漏洞源引起的多个问题仅记录为1个(按引起的最高风险问题计算).
7.
争议解决办法在漏洞报告处理过程中,如果报告者对流程处理、漏洞定级、漏洞评分等有异议的,可以通过src@pwrd.
com与工作人员及时沟通.
0发布第一版2017-12-20V1.
1完善评分原则2018-1-173页共6页目录1.
基本原则.
42.
适用范围.
43.
反馈流程.
44.
安全漏洞评分标准.
45.
安全漏洞奖励标准.
56.
安全漏洞评分原则.
67.
争议解决办法.
64页共6页1.
基本原则1、作为一个负责任的互联网企业,我们深知数据安全的重要性,对于提交有效漏洞的白帽子们,我们将报以由衷的感谢和回馈.
我们希望通过此平台与白帽子和安全爱好者建立良好的关系,共同为完美安全添砖加瓦.
2、关于漏洞测试,请以不影响其他正常用户的方式进行.
例如在测试越权、XSS等漏洞时,可注册多个账号进行测试.
若无意中改动到了正常用户的信息,请及时告知我们.
另外如可能导致系统或业务中断,或可能会造成大面积传播的漏洞不允许进行测试.
3、在已经能够证明漏洞存在的情况下,不允许利用安全漏洞进行破坏、损害用户利益的黑客行为.
例如在上传WebShell后下载服务器数据,或SQL注入时,在已经能够证明SQL注入存在的情况下,仍然大量获取用户数据等行为.
原则上SQL注入时获取的用户数据不要超过30组.
4、对于测试内容,请不要向PWSRC之外的任何人或机构提交.
一经发现,PWSRC有权取消奖励并根据具体情节追究相关责任.
2.
适用范围本流程适用于公司内部及外部人员,但公司内部人员与职务/工作职责相关的漏洞发现除外.
3.
反馈流程您可以通过PWSRC平台(http://security.
wanmei.
com)直接报告漏洞.
也可将漏洞详情发送至漏洞接收邮箱:src@pwrd.
com4.
安全漏洞评分标准根据漏洞对公司整体业务的影响程度将漏洞等级分为【严重】、【高危】、【中危】、【低危】、【忽略】五个等级.
每种等级认定标准如下:【严重】核心应用系统中的高危漏洞,例如:1、直接获取核心系统服务器权限的漏洞.
包括但不仅限于核心系统服务器的任5页共6页意命令执行、上传获取WebShell、SQL注入获取系统权限等;2、严重的逻辑设计缺陷.
包括但不仅限于任意账号登陆、任意账号密码修改、任意账号资金消费;3、严重的敏感信息泄露.
包括但不仅限于重要数据的SQL注入(例如重要的账号密码)、包含敏感信息的源文件压缩包泄露;【高危】非核心应用系统中的高危漏洞,例如:1、高风险的信息泄露,包括但不限于可以获取一般数据的SQL注入漏洞、源代码泄露以及任意文件读取和下载漏洞等;2、越权访问,包括但不限于绕过验证直接访问后台、后台登录弱口令、以及其它服务的弱口令等;【中危】1、需交互才能影响用户的漏洞.
包括但不限于能够造成切实危害的存储型XSS;2、普通信息泄露.
包括但不仅限于获取用户敏感信息、WEB层的路径遍历等;3、普通越权操作.
包括但不仅限于越权查看非核心的信息、记录等;4、普通逻辑设计缺陷.
包括但不仅限于短信验证绕过、邮件验证绕过.
【低危】1、有一定价值的轻微信息泄露.
比如phpinfo、测试数据泄露等;2、逻辑设计缺陷.
包括但不仅限于图形验证码绕过;3、有一定轻微影响的CSRF,反射型XSS、URL跳转漏洞等.
【忽略】1、不涉及安全问题的BUG.
包括但不仅限于网页乱码、无意义的测试页面等;2、其它类型的问题,包含但不仅限于用户名爆破、有条件的URL跳转、没有回显且没有内网探测证明的SSRF、Self-XSS、无敏感操作的CSRF、无意义的信息泄露、跨域策略文件(crossdomain.
xml)、无敏感信息的.
htaccess、web.
config文件等.
5.
安全漏洞奖励标准每个漏洞所得积分=业务等级系数*漏洞积分系数.
由完美世界安全应急响应中心结合利用场景中漏洞的严重程度、利用难度、影响范围和提交者关于漏洞描述的详细程度等综合因素进行漏洞评级,并给予相应积分.
6页共6页注:1积分=5RMB.
具体积分奖励情况请参考下图:漏洞等级与积分系数业务等级系数严重(80-90)高危(40-45)中危(10-12)低危(1-3)高(4-5)320-450160–22540–604–15中(2-3)160-27080-13520–362–9低180-9040-4510–121–36.
安全漏洞评分原则1、评分标准适用于完美世界的所有产品和服务.
包括完美世界各PC、移动和web端的网游等.
其中核心应用域名如下:wanmei.
com、laohu.
com、csgo.
com.
cn、dota2.
com.
cn2、从2018年1月17日开始,我们将不再接收星游传媒相关域名,包含但不限于:stargame.
com、178.
com、tgbus.
com、a9vg.
com、dospy.
com、nga.
cn、ngacn.
cc、ptbus.
com、766.
com、xyous.
com等3、针对完美世界使用的第三方系统,或与我们相关的一些边缘业务.
我们可能将不完全按照上述评分标准,而是根据业务实际运营情况及所涉及的业务数据进行综合评分.
4、同一漏洞最早提交者得分,在其它平台上提交过的不计分,与完美世界无关的漏洞不计分.
5、同一漏洞源引起的多个问题仅记录为1个(按引起的最高风险问题计算).
7.
争议解决办法在漏洞报告处理过程中,如果报告者对流程处理、漏洞定级、漏洞评分等有异议的,可以通过src@pwrd.
com与工作人员及时沟通.
- 完美世界安全应急响应中心相关文档
- 设置pw域名
- 天津中医药栽蚤葬灶躁蚤灶
- 电视台pw域名
- 寄存器pw域名
- 交换机pw域名
- 全国计算机等级考试网上报名操作指南
Linode十八周年及未来展望
这两天Linode发布了十八周年的博文和邮件,回顾了过去取得的成绩和对未来的展望。作为一家运营18年的VPS主机商,Linode无疑是有一些可取之处的,商家提供基于KVM架构的VPS主机,支持随时删除(按小时计费),可选包括美国、英国、新加坡、日本、印度、加拿大、德国等全球十多个数据中心,所有机器提供高出入网带宽,最低仅$5/月($0.0075/小时)。This month marks Linod...
CheapWindowsVPS$4.5/月,美国VPS/免费Windows系统/1Gbps不限流量/,可选美洲、欧洲、亚洲等8大机房
国外商家提供Windows系统的并不常见,CheapWindowsVPS 此次提供的 2 款 VPS 促销套餐,提供 5 折永久优惠码,优惠后月付 4.5 美元起,价格还是挺诱人的,VPS 不限流量,接入 1Gbps 带宽,8 个机房皆可选,其中洛杉矶机房还提供亚洲优化网络供选择,操作系统有 Windows 10 专业版、2012 R2、2016、Linux等。Cheap Windows VPS是...
月神科技 国内上新成都高防 全场八折促销续费同价!
月神科技是由江西月神科技有限公司运营的一家自营云产品的IDC服务商,提供香港安畅、香港沙田、美国CERA、成都电信等机房资源,月神科技有自己的用户群和拥有创宇认证,并且也有电商企业将业务架设在月神科技的平台上。本次带来的是全场八折促销,续费同价。并且上新了国内成都高防服务器,单机100G集群1.2T真实防御,上层屏蔽UDP,可定制CC策略。非常适合网站用户。官方网站:https://www.ysi...
pw域名为你推荐
-
租服务器租个服务器?哪里租?中文域名注册查询怎么查我们公司的中文域名是被谁注册的?海外主机美国主机与国内主机有哪些区别网站服务器租用网站的服务器买哪里的最好,还有租用一年大概多少钱???急!!!免费vps服务器如何免费搭建自己的vps服务器美国服务器托管美国网站服务器去哪里租?1g虚拟主机我要做一个下载资料类网站,刚买了一个虚拟主机1G的,提供商说一次,只能上传一个小于10M的文件虚拟主机系统虚拟主机采用什么操作系统?合肥虚拟主机虚拟主机是干嘛的?买了虚拟主机是否要一台电脑?北京虚拟主机北京服务好的虚拟主机代理商介绍几个?