網(wǎng)易安全中心下載 v2021 官方綠色版

軟件介紹

網(wǎng)易安全中心電腦版是一款功能強大的安全反饋平臺，由網(wǎng)易公司推出，這款軟件一直致力于將安全技術(shù)融入產(chǎn)品，最大化的保障用戶安全，用戶可以將各種安全漏洞通過這款軟件進行提交，并且會對提交者進行一定的獎勵，讓廣大網(wǎng)友們一起加入網(wǎng)絡(luò)安全領(lǐng)域，讓用戶通過平臺更加了解安全。

網(wǎng)易安全中心作為一個漏洞提交平臺主要面對技術(shù)層面的問題，而實際應(yīng)用則交由網(wǎng)易賬號中心、網(wǎng)易幫助中心、網(wǎng)易賬號管家等平臺進行實際實施，提供的資源包是網(wǎng)易賬號管家，非常適合使用網(wǎng)易產(chǎn)品的用戶進行使用。

軟件特色

1、獎勵計劃

網(wǎng)易安全獎勵計劃設(shè)有月度獎勵、季度獎勵、額外獎勵等多重現(xiàn)金獎勵

2、響應(yīng)速度

我們承諾每份安全報告都會有專人評估跟進，并及時反饋最新處理進展

3、審核標準

所有安全報告都會嚴格按照審核標準進行評估定級，標準統(tǒng)一公平公正

4、官方致謝

感謝廣大安全專家對網(wǎng)易 SRC 的關(guān)注與支持，共同守護億萬用戶信息安全

軟件功能

1、安全檢測：全方位檢測您的帳號，方便快捷加固帳號

2、登錄保護：開啟登錄保護后，登錄網(wǎng)易產(chǎn)品需要網(wǎng)易帳號管家進行驗證，有效預(yù)防帳號被盜

3、帳號足跡：可隨時查詢帳號登錄記錄和操作記錄，提早發(fā)現(xiàn)風險

4、一鍵鎖號：發(fā)現(xiàn)風險可立刻鎖定帳號，減少資料和金錢損失

5、快速改密：綁定帳號并通過驗證，即可隨時修改密碼保證帳號安全

網(wǎng)易安全中心使用方法

網(wǎng)易安全中心（NSRC）漏洞提交規(guī)范

本文用于規(guī)范白帽子提交漏洞及威脅情報的格式。提交漏洞或威脅情報需要按本規(guī)范填寫，符合規(guī)范要求的漏洞或威脅情報將優(yōu)先審核。

一、漏洞名稱

1.    應(yīng)明確說明漏洞所在業(yè)務(wù)、漏洞類型等信息，避免使用【某業(yè)務(wù)】、【某網(wǎng)站】、【網(wǎng)易】等泛指的詞；

2.    若不確定漏洞所屬的業(yè)務(wù)是什么，請使用域名或IP等代替；

3.    漏洞標題中不需要寫影響的內(nèi)容、影響的范圍等。如避免使用標題【XXX漏洞泄露用戶身*證XX個】等，此類信息請在漏洞詳情中寫明。

舉例：

《網(wǎng)易嚴選搜索功能反射型XSS漏洞》

《xyz.163.com Jsonp劫持用戶敏感信息》

《云音樂裝修處越權(quán)查看用戶敏感信息》

二、漏洞類型

1.    請按真實漏洞類型選擇；

2.    對于漏洞類型確實不明確的，請先確定漏洞大類，再選擇相應(yīng)小類里的【其他】；

3.    若漏洞是由若干漏洞組合利用的，請選擇其中最主要問題的漏洞類型；

4.    黑灰產(chǎn)情報、營銷作弊、規(guī)則繞過、釣魚網(wǎng)站等漏洞提交時，漏洞類型請優(yōu)先選擇威脅情報。

三、漏洞等級

1.    請嚴格按漏洞實際危害選擇對應(yīng)的漏洞等級，虛標漏洞等級會消耗大量資源響應(yīng)。

四、漏洞URL

1.    Web 類漏洞需要提供漏洞URL;

2.    漏洞 URL 應(yīng)當為漏洞最關(guān)鍵部分的URL，如存儲XSS的輸入或輸出點頁面URL、SQL注入點的URL、POST型反射XSS的目標URL等。

3.    URL需要是完整的鏈接，不能僅寫主域名。

舉例:

反射型XSS：https://www.xxx.com/foo/bar?alice=

GET型CSRF：https://www.xxx.com/update/profile?name=test

五、漏洞詳情

1.    如無特殊必要情況，所有信息請直接填寫在漏洞詳情中，避免使用簡單描述+文檔/視頻等方式，附加的文檔/視頻僅作為漏洞詳情補充說明；

2.    準確描述漏洞出現(xiàn)的位置、測試步驟、PoC/EXP、影響大小等，并提供關(guān)鍵步驟的截圖、利用成功的截圖、視頻等證明，測試步驟和POC必須完整。如客戶端漏洞需要提供準確的漏洞代碼位置，包括包名、類名、關(guān)鍵部位代碼問題說明；業(yè)務(wù)邏輯漏洞，需要明確說明功能入口；

3.    客戶端漏洞需要提供存在問題的客戶端、版本號，特殊渠道下載的包請說明下載來源；

4.    接口類URL漏洞，請同時提供調(diào)用此接口的業(yè)務(wù)頁面URL，及前置步驟或前置權(quán)限，如有Referer校驗的URL需要提供前置的測試步驟、需要使用賣家賬號并購買了XX服務(wù)后才能測試的漏洞需要提供具體服務(wù)的地址；

5.    非常見漏洞類型請額外提供漏洞原理、成因、修復(fù)方案等，并附上參考資料鏈接；常見漏洞無需提供漏洞上述信息；

6.    漏洞關(guān)鍵步驟為HTTP POST的，請在漏洞詳情末尾提供完整POST包，示例見下，POST包與正文請使用一行“+++++++++++”隔開， HTTP頭的Cookie字段的值可置空，但需要留有Cookie字段名，若為文件上傳類等漏洞，請把包中文件內(nèi)容字段置空以減少內(nèi)容大小；

附：HTTP POST數(shù)據(jù)包提交格式

這是漏洞詳情正文正文正文

這是漏洞詳情正文正文正文

這是漏洞詳情正文正文正文

++++++++++++++++++

POST /welcome HTTP/1.1

Host: www.foo.com

Connection: close

Accept: application/json, text/javascript, */*; q=0.01

X-Requested-With: XMLHttpRequest

Content-Type: application/x-www-form-urlencoded; charset=UTF-8

Referer: https://taobao.com/index.html

Accept-Encoding: gzip, deflate

Accept-Language: zh-CN,zh;q=0.9

Cookie: [deleted]

id=ABCDE

++++++++++++++++

部分漏洞詳情額外要求說明

1.    POST型CSRF、CORS、Jsonp劫持等：請?zhí)峁㏄oC、漏洞所在頁面URL；

2.    存儲型XSS：請?zhí)峁┹斎朦c所在頁面URL、輸入點字段名、Payload、輸出點URL、輸出點具體位置的截圖說明，如果觸發(fā)路徑較長，需同時提供觸發(fā)方式；

3.    SQL注入漏洞：請?zhí)峁┳⑷朦cURL所在頁面URL（如果有）、注入點URL、注入成功后的截圖；

4.    有賬號認證的應(yīng)用需提供漏洞測試時所使用的賬號名信息。

5.    漏洞測試如果獲取到webshell，請?zhí)峁┩暾膚ebshell訪問地址和連接密碼。

網(wǎng)易安全中心常用問題

1、報告審核周期多長時間？

白帽提交漏洞后，審核人員會在24小時內(nèi)響應(yīng)對漏洞進行驗證（法定節(jié)假日順延）。

2、已確認漏洞獎勵什么時間到賬？

已確認的報告，自報告狀態(tài)變更為“已確認”，積分和貢獻幣將在24H后發(fā)放至賬戶。

3、兌換現(xiàn)金紅包到賬時間是多久？

現(xiàn)金紅包禮品兌換成功后，將在次月中旬統(tǒng)一發(fā)放，例如，3月份兌換的現(xiàn)金紅包將于4月中旬到賬，打款期間遇節(jié)假日，到賬時間將延后。因公司財務(wù)打款需稅務(wù)核稅、領(lǐng)導(dǎo)審批、財務(wù)核查等各項流程，一般需1-2周時間，打款到賬時間一般在中下旬左右，希望大家多多理解。

4、兌換實物禮品到賬時間是多久？

實物禮品兌換成功后，將在兌換當周星期五16點前進行統(tǒng)計與派送（非工作日順延）。

5、實名認證審核需要多久通過？

工作人員會在每周五統(tǒng)一處理提交的實名認證（非工作日順延）。

6、對漏洞評估結(jié)果有異議如何處理？

如您對漏洞評估結(jié)果有任何異議，首先可直接在漏洞下方評論，審核人員會及時響應(yīng)答復(fù)定級原因。