完美世界安全应急响应中心
pw域名 时间:2021-01-04 阅读:()
漏洞反馈处理流程与奖励说明2页共6页版本号修订内容发布日期V1.
0发布第一版2017-12-20V1.
1完善评分原则2018-1-173页共6页目录1.
基本原则.
42.
适用范围.
43.
反馈流程.
44.
安全漏洞评分标准.
45.
安全漏洞奖励标准.
56.
安全漏洞评分原则.
67.
争议解决办法.
64页共6页1.
基本原则1、作为一个负责任的互联网企业,我们深知数据安全的重要性,对于提交有效漏洞的白帽子们,我们将报以由衷的感谢和回馈.
我们希望通过此平台与白帽子和安全爱好者建立良好的关系,共同为完美安全添砖加瓦.
2、关于漏洞测试,请以不影响其他正常用户的方式进行.
例如在测试越权、XSS等漏洞时,可注册多个账号进行测试.
若无意中改动到了正常用户的信息,请及时告知我们.
另外如可能导致系统或业务中断,或可能会造成大面积传播的漏洞不允许进行测试.
3、在已经能够证明漏洞存在的情况下,不允许利用安全漏洞进行破坏、损害用户利益的黑客行为.
例如在上传WebShell后下载服务器数据,或SQL注入时,在已经能够证明SQL注入存在的情况下,仍然大量获取用户数据等行为.
原则上SQL注入时获取的用户数据不要超过30组.
4、对于测试内容,请不要向PWSRC之外的任何人或机构提交.
一经发现,PWSRC有权取消奖励并根据具体情节追究相关责任.
2.
适用范围本流程适用于公司内部及外部人员,但公司内部人员与职务/工作职责相关的漏洞发现除外.
3.
反馈流程您可以通过PWSRC平台(http://security.
wanmei.
com)直接报告漏洞.
也可将漏洞详情发送至漏洞接收邮箱:src@pwrd.
com4.
安全漏洞评分标准根据漏洞对公司整体业务的影响程度将漏洞等级分为【严重】、【高危】、【中危】、【低危】、【忽略】五个等级.
每种等级认定标准如下:【严重】核心应用系统中的高危漏洞,例如:1、直接获取核心系统服务器权限的漏洞.
包括但不仅限于核心系统服务器的任5页共6页意命令执行、上传获取WebShell、SQL注入获取系统权限等;2、严重的逻辑设计缺陷.
包括但不仅限于任意账号登陆、任意账号密码修改、任意账号资金消费;3、严重的敏感信息泄露.
包括但不仅限于重要数据的SQL注入(例如重要的账号密码)、包含敏感信息的源文件压缩包泄露;【高危】非核心应用系统中的高危漏洞,例如:1、高风险的信息泄露,包括但不限于可以获取一般数据的SQL注入漏洞、源代码泄露以及任意文件读取和下载漏洞等;2、越权访问,包括但不限于绕过验证直接访问后台、后台登录弱口令、以及其它服务的弱口令等;【中危】1、需交互才能影响用户的漏洞.
包括但不限于能够造成切实危害的存储型XSS;2、普通信息泄露.
包括但不仅限于获取用户敏感信息、WEB层的路径遍历等;3、普通越权操作.
包括但不仅限于越权查看非核心的信息、记录等;4、普通逻辑设计缺陷.
包括但不仅限于短信验证绕过、邮件验证绕过.
【低危】1、有一定价值的轻微信息泄露.
比如phpinfo、测试数据泄露等;2、逻辑设计缺陷.
包括但不仅限于图形验证码绕过;3、有一定轻微影响的CSRF,反射型XSS、URL跳转漏洞等.
【忽略】1、不涉及安全问题的BUG.
包括但不仅限于网页乱码、无意义的测试页面等;2、其它类型的问题,包含但不仅限于用户名爆破、有条件的URL跳转、没有回显且没有内网探测证明的SSRF、Self-XSS、无敏感操作的CSRF、无意义的信息泄露、跨域策略文件(crossdomain.
xml)、无敏感信息的.
htaccess、web.
config文件等.
5.
安全漏洞奖励标准每个漏洞所得积分=业务等级系数*漏洞积分系数.
由完美世界安全应急响应中心结合利用场景中漏洞的严重程度、利用难度、影响范围和提交者关于漏洞描述的详细程度等综合因素进行漏洞评级,并给予相应积分.
6页共6页注:1积分=5RMB.
具体积分奖励情况请参考下图:漏洞等级与积分系数业务等级系数严重(80-90)高危(40-45)中危(10-12)低危(1-3)高(4-5)320-450160–22540–604–15中(2-3)160-27080-13520–362–9低180-9040-4510–121–36.
安全漏洞评分原则1、评分标准适用于完美世界的所有产品和服务.
包括完美世界各PC、移动和web端的网游等.
其中核心应用域名如下:wanmei.
com、laohu.
com、csgo.
com.
cn、dota2.
com.
cn2、从2018年1月17日开始,我们将不再接收星游传媒相关域名,包含但不限于:stargame.
com、178.
com、tgbus.
com、a9vg.
com、dospy.
com、nga.
cn、ngacn.
cc、ptbus.
com、766.
com、xyous.
com等3、针对完美世界使用的第三方系统,或与我们相关的一些边缘业务.
我们可能将不完全按照上述评分标准,而是根据业务实际运营情况及所涉及的业务数据进行综合评分.
4、同一漏洞最早提交者得分,在其它平台上提交过的不计分,与完美世界无关的漏洞不计分.
5、同一漏洞源引起的多个问题仅记录为1个(按引起的最高风险问题计算).
7.
争议解决办法在漏洞报告处理过程中,如果报告者对流程处理、漏洞定级、漏洞评分等有异议的,可以通过src@pwrd.
com与工作人员及时沟通.
0发布第一版2017-12-20V1.
1完善评分原则2018-1-173页共6页目录1.
基本原则.
42.
适用范围.
43.
反馈流程.
44.
安全漏洞评分标准.
45.
安全漏洞奖励标准.
56.
安全漏洞评分原则.
67.
争议解决办法.
64页共6页1.
基本原则1、作为一个负责任的互联网企业,我们深知数据安全的重要性,对于提交有效漏洞的白帽子们,我们将报以由衷的感谢和回馈.
我们希望通过此平台与白帽子和安全爱好者建立良好的关系,共同为完美安全添砖加瓦.
2、关于漏洞测试,请以不影响其他正常用户的方式进行.
例如在测试越权、XSS等漏洞时,可注册多个账号进行测试.
若无意中改动到了正常用户的信息,请及时告知我们.
另外如可能导致系统或业务中断,或可能会造成大面积传播的漏洞不允许进行测试.
3、在已经能够证明漏洞存在的情况下,不允许利用安全漏洞进行破坏、损害用户利益的黑客行为.
例如在上传WebShell后下载服务器数据,或SQL注入时,在已经能够证明SQL注入存在的情况下,仍然大量获取用户数据等行为.
原则上SQL注入时获取的用户数据不要超过30组.
4、对于测试内容,请不要向PWSRC之外的任何人或机构提交.
一经发现,PWSRC有权取消奖励并根据具体情节追究相关责任.
2.
适用范围本流程适用于公司内部及外部人员,但公司内部人员与职务/工作职责相关的漏洞发现除外.
3.
反馈流程您可以通过PWSRC平台(http://security.
wanmei.
com)直接报告漏洞.
也可将漏洞详情发送至漏洞接收邮箱:src@pwrd.
com4.
安全漏洞评分标准根据漏洞对公司整体业务的影响程度将漏洞等级分为【严重】、【高危】、【中危】、【低危】、【忽略】五个等级.
每种等级认定标准如下:【严重】核心应用系统中的高危漏洞,例如:1、直接获取核心系统服务器权限的漏洞.
包括但不仅限于核心系统服务器的任5页共6页意命令执行、上传获取WebShell、SQL注入获取系统权限等;2、严重的逻辑设计缺陷.
包括但不仅限于任意账号登陆、任意账号密码修改、任意账号资金消费;3、严重的敏感信息泄露.
包括但不仅限于重要数据的SQL注入(例如重要的账号密码)、包含敏感信息的源文件压缩包泄露;【高危】非核心应用系统中的高危漏洞,例如:1、高风险的信息泄露,包括但不限于可以获取一般数据的SQL注入漏洞、源代码泄露以及任意文件读取和下载漏洞等;2、越权访问,包括但不限于绕过验证直接访问后台、后台登录弱口令、以及其它服务的弱口令等;【中危】1、需交互才能影响用户的漏洞.
包括但不限于能够造成切实危害的存储型XSS;2、普通信息泄露.
包括但不仅限于获取用户敏感信息、WEB层的路径遍历等;3、普通越权操作.
包括但不仅限于越权查看非核心的信息、记录等;4、普通逻辑设计缺陷.
包括但不仅限于短信验证绕过、邮件验证绕过.
【低危】1、有一定价值的轻微信息泄露.
比如phpinfo、测试数据泄露等;2、逻辑设计缺陷.
包括但不仅限于图形验证码绕过;3、有一定轻微影响的CSRF,反射型XSS、URL跳转漏洞等.
【忽略】1、不涉及安全问题的BUG.
包括但不仅限于网页乱码、无意义的测试页面等;2、其它类型的问题,包含但不仅限于用户名爆破、有条件的URL跳转、没有回显且没有内网探测证明的SSRF、Self-XSS、无敏感操作的CSRF、无意义的信息泄露、跨域策略文件(crossdomain.
xml)、无敏感信息的.
htaccess、web.
config文件等.
5.
安全漏洞奖励标准每个漏洞所得积分=业务等级系数*漏洞积分系数.
由完美世界安全应急响应中心结合利用场景中漏洞的严重程度、利用难度、影响范围和提交者关于漏洞描述的详细程度等综合因素进行漏洞评级,并给予相应积分.
6页共6页注:1积分=5RMB.
具体积分奖励情况请参考下图:漏洞等级与积分系数业务等级系数严重(80-90)高危(40-45)中危(10-12)低危(1-3)高(4-5)320-450160–22540–604–15中(2-3)160-27080-13520–362–9低180-9040-4510–121–36.
安全漏洞评分原则1、评分标准适用于完美世界的所有产品和服务.
包括完美世界各PC、移动和web端的网游等.
其中核心应用域名如下:wanmei.
com、laohu.
com、csgo.
com.
cn、dota2.
com.
cn2、从2018年1月17日开始,我们将不再接收星游传媒相关域名,包含但不限于:stargame.
com、178.
com、tgbus.
com、a9vg.
com、dospy.
com、nga.
cn、ngacn.
cc、ptbus.
com、766.
com、xyous.
com等3、针对完美世界使用的第三方系统,或与我们相关的一些边缘业务.
我们可能将不完全按照上述评分标准,而是根据业务实际运营情况及所涉及的业务数据进行综合评分.
4、同一漏洞最早提交者得分,在其它平台上提交过的不计分,与完美世界无关的漏洞不计分.
5、同一漏洞源引起的多个问题仅记录为1个(按引起的最高风险问题计算).
7.
争议解决办法在漏洞报告处理过程中,如果报告者对流程处理、漏洞定级、漏洞评分等有异议的,可以通过src@pwrd.
com与工作人员及时沟通.
- 完美世界安全应急响应中心相关文档
- 设置pw域名
- 天津中医药栽蚤葬灶躁蚤灶
- 电视台pw域名
- 寄存器pw域名
- 交换机pw域名
- 全国计算机等级考试网上报名操作指南
星梦云-年中四川100G高防云主机月付仅60元,西南高防月付特价活动,,买到就是赚到!
官方网站:点击访问星梦云活动官网活动方案:机房CPU内存硬盘带宽IP防护流量原价活动价开通方式成都电信优化线路4vCPU4G40G+50G10Mbps1个100G不限流量210元/月 99元/月点击自助购买成都电信优化线路8vCPU8G40G+100G15Mbps1个100G不限流量370元/月 160元/月点击自助购买成都电信优化线路16vCPU16G40G+100G20Mb...
Spinservers:美国圣何塞服务器,双E5/64GB DDR4/2TB SSD/10Gbps端口月流量10TB,$111/月
spinservers怎么样?spinservers大硬盘服务器。Spinservers刚刚在美国圣何塞机房补货120台独立服务器,CPU都是双E5系列,64-512GB DDR4内存,超大SSD或NVMe存储,数量有限,机器都是预部署好的,下单即可上架,无需人工干预,有需要的朋友抓紧下单哦。Spinservers是Majestic Hosting Solutions,LLC旗下站点,主营美国独立...
UCloud:全球大促降价,云服务器全网最低价,1核1G快杰云服务器47元/年
ucloud:全球大促活动降价了!这次云服务器全网最低价,也算是让利用户了,UCloud商家调低了之前的促销活动价格,并且新增了1核1G内存配置快杰型云服务器,价格是47元/年(也可选2元首月),这是全网同配置最便宜的云服务器了!UCloud全球大促活动促销机型有快杰型云服务器和通用型云服务器,促销机房国内海外都有,覆盖全球20个城市,具体有北京、上海、广州、香港、 台北、日本东京、越南胡志明市、...
pw域名为你推荐
-
虚机虚拟主机是什么东东呢?海外主机租用为什么很多人选择国外服务器租用php虚拟主机求php虚拟主机提供商。。。哪里的 好,价格也优惠的免费云主机永久免费的云主机哎或者空间或者vps中文域名注册查询怎么查我们公司的中文域名是被谁注册的?中国域名注册中国十大域名注册商国内ip代理求一些国内《ip代理》地址大全网站空间域名网站空间,域名,操作100m网站空间网站空间100M和1000M有什么区别 ?北京网站空间求永久免费的网站服务器!