軟件介紹
網(wǎng)易安全中心電腦版是一款功能強大的安全反饋平臺,由網(wǎng)易公司推出,這款軟件一直致力于將安全技術(shù)融入產(chǎn)品,最大化的保障用戶安全,用戶可以將各種安全漏洞通過這款軟件進行提交,并且會對提交者進行一定的獎勵,讓廣大網(wǎng)友們一起加入網(wǎng)絡(luò)安全領(lǐng)域,讓用戶通過平臺更加了解安全。
網(wǎng)易安全中心作為一個漏洞提交平臺主要面對技術(shù)層面的問題,而實際應(yīng)用則交由網(wǎng)易賬號中心、網(wǎng)易幫助中心、網(wǎng)易賬號管家等平臺進行實際實施,提供的資源包是網(wǎng)易賬號管家,非常適合使用網(wǎng)易產(chǎn)品的用戶進行使用。
軟件特色
1、獎勵計劃
網(wǎng)易安全獎勵計劃設(shè)有月度獎勵、季度獎勵、額外獎勵等多重現(xiàn)金獎勵
2、響應(yīng)速度
我們承諾每份安全報告都會有專人評估跟進,并及時反饋最新處理進展
3、審核標準
所有安全報告都會嚴格按照審核標準進行評估定級,標準統(tǒng)一公平公正
4、官方致謝
感謝廣大安全專家對網(wǎng)易 SRC 的關(guān)注與支持,共同守護億萬用戶信息安全
軟件功能
1、安全檢測:全方位檢測您的帳號,方便快捷加固帳號
2、登錄保護:開啟登錄保護后,登錄網(wǎng)易產(chǎn)品需要網(wǎng)易帳號管家進行驗證,有效預(yù)防帳號被盜
3、帳號足跡:可隨時查詢帳號登錄記錄和操作記錄,提早發(fā)現(xiàn)風險
4、一鍵鎖號:發(fā)現(xiàn)風險可立刻鎖定帳號,減少資料和金錢損失
5、快速改密:綁定帳號并通過驗證,即可隨時修改密碼保證帳號安全
網(wǎng)易安全中心使用方法
網(wǎng)易安全中心(NSRC)漏洞提交規(guī)范
本文用于規(guī)范白帽子提交漏洞及威脅情報的格式。提交漏洞或威脅情報需要按本規(guī)范填寫,符合規(guī)范要求的漏洞或威脅情報將優(yōu)先審核。
一、漏洞名稱
1. 應(yīng)明確說明漏洞所在業(yè)務(wù)、漏洞類型等信息,避免使用【某業(yè)務(wù)】、【某網(wǎng)站】、【網(wǎng)易】等泛指的詞;
2. 若不確定漏洞所屬的業(yè)務(wù)是什么,請使用域名或IP等代替;
3. 漏洞標題中不需要寫影響的內(nèi)容、影響的范圍等。如避免使用標題【XXX漏洞泄露用戶身*證XX個】等,此類信息請在漏洞詳情中寫明。
舉例:
《網(wǎng)易嚴選搜索功能反射型XSS漏洞》
《xyz.163.com Jsonp劫持用戶敏感信息》
《云音樂裝修處越權(quán)查看用戶敏感信息》
二、漏洞類型
1. 請按真實漏洞類型選擇;
2. 對于漏洞類型確實不明確的,請先確定漏洞大類,再選擇相應(yīng)小類里的【其他】;
3. 若漏洞是由若干漏洞組合利用的,請選擇其中最主要問題的漏洞類型;
4. 黑灰產(chǎn)情報、營銷作弊、規(guī)則繞過、釣魚網(wǎng)站等漏洞提交時,漏洞類型請優(yōu)先選擇威脅情報。
三、漏洞等級
1. 請嚴格按漏洞實際危害選擇對應(yīng)的漏洞等級,虛標漏洞等級會消耗大量資源響應(yīng)。
四、漏洞URL
1. Web 類漏洞需要提供漏洞URL;
2. 漏洞 URL 應(yīng)當為漏洞最關(guān)鍵部分的URL,如存儲XSS的輸入或輸出點頁面URL、SQL注入點的URL、POST型反射XSS的目標URL等。
3. URL需要是完整的鏈接,不能僅寫主域名。
舉例:
反射型XSS:https://www.xxx.com/foo/bar?alice=
GET型CSRF:https://www.xxx.com/update/profile?name=test
五、漏洞詳情
1. 如無特殊必要情況,所有信息請直接填寫在漏洞詳情中,避免使用簡單描述+文檔/視頻等方式,附加的文檔/視頻僅作為漏洞詳情補充說明;
2. 準確描述漏洞出現(xiàn)的位置、測試步驟、PoC/EXP、影響大小等,并提供關(guān)鍵步驟的截圖、利用成功的截圖、視頻等證明,測試步驟和POC必須完整。如客戶端漏洞需要提供準確的漏洞代碼位置,包括包名、類名、關(guān)鍵部位代碼問題說明;業(yè)務(wù)邏輯漏洞,需要明確說明功能入口;
3. 客戶端漏洞需要提供存在問題的客戶端、版本號,特殊渠道下載的包請說明下載來源;
4. 接口類URL漏洞,請同時提供調(diào)用此接口的業(yè)務(wù)頁面URL,及前置步驟或前置權(quán)限,如有Referer校驗的URL需要提供前置的測試步驟、需要使用賣家賬號并購買了XX服務(wù)后才能測試的漏洞需要提供具體服務(wù)的地址;
5. 非常見漏洞類型請額外提供漏洞原理、成因、修復(fù)方案等,并附上參考資料鏈接;常見漏洞無需提供漏洞上述信息;
6. 漏洞關(guān)鍵步驟為HTTP POST的,請在漏洞詳情末尾提供完整POST包,示例見下,POST包與正文請使用一行“+++++++++++”隔開, HTTP頭的Cookie字段的值可置空,但需要留有Cookie字段名,若為文件上傳類等漏洞,請把包中文件內(nèi)容字段置空以減少內(nèi)容大小;
附:HTTP POST數(shù)據(jù)包提交格式
這是漏洞詳情正文正文正文
這是漏洞詳情正文正文正文
這是漏洞詳情正文正文正文
++++++++++++++++++
POST /welcome HTTP/1.1
Host: www.foo.com
Connection: close
Accept: application/json, text/javascript, */*; q=0.01
X-Requested-With: XMLHttpRequest
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Referer: https://taobao.com/index.html
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: [deleted]
id=ABCDE
++++++++++++++++
部分漏洞詳情額外要求說明
1. POST型CSRF、CORS、Jsonp劫持等:請?zhí)峁㏄oC、漏洞所在頁面URL;
2. 存儲型XSS:請?zhí)峁┹斎朦c所在頁面URL、輸入點字段名、Payload、輸出點URL、輸出點具體位置的截圖說明,如果觸發(fā)路徑較長,需同時提供觸發(fā)方式;
3. SQL注入漏洞:請?zhí)峁┳⑷朦cURL所在頁面URL(如果有)、注入點URL、注入成功后的截圖;
4. 有賬號認證的應(yīng)用需提供漏洞測試時所使用的賬號名信息。
5. 漏洞測試如果獲取到webshell,請?zhí)峁┩暾膚ebshell訪問地址和連接密碼。
網(wǎng)易安全中心常用問題
1、報告審核周期多長時間?
白帽提交漏洞后,審核人員會在24小時內(nèi)響應(yīng)對漏洞進行驗證(法定節(jié)假日順延)。
2、已確認漏洞獎勵什么時間到賬?
已確認的報告,自報告狀態(tài)變更為“已確認”,積分和貢獻幣將在24H后發(fā)放至賬戶。
3、兌換現(xiàn)金紅包到賬時間是多久?
現(xiàn)金紅包禮品兌換成功后,將在次月中旬統(tǒng)一發(fā)放,例如,3月份兌換的現(xiàn)金紅包將于4月中旬到賬,打款期間遇節(jié)假日,到賬時間將延后。因公司財務(wù)打款需稅務(wù)核稅、領(lǐng)導(dǎo)審批、財務(wù)核查等各項流程,一般需1-2周時間,打款到賬時間一般在中下旬左右,希望大家多多理解。
4、兌換實物禮品到賬時間是多久?
實物禮品兌換成功后,將在兌換當周星期五16點前進行統(tǒng)計與派送(非工作日順延)。
5、實名認證審核需要多久通過?
工作人員會在每周五統(tǒng)一處理提交的實名認證(非工作日順延)。
6、對漏洞評估結(jié)果有異議如何處理?
如您對漏洞評估結(jié)果有任何異議,首先可直接在漏洞下方評論,審核人員會及時響應(yīng)答復(fù)定級原因。
- 精選留言 來自湖北武漢聯(lián)通用戶 發(fā)表于: 2023-1-21
- 就喜歡用簡體中文的軟件,其他語言的根本看不懂。
- 精選留言 來自江蘇淮安移動用戶 發(fā)表于: 2023-5-10
- 厲害 正是需要的時候
- 精選留言 來自寧夏銀川電信用戶 發(fā)表于: 2023-6-19
- 必需要收藏
- 精選留言 來自山東聊城移動用戶 發(fā)表于: 2023-8-22
- 這款軟件就一個字形容:棒
- 精選留言 來自湖北十堰電信用戶 發(fā)表于: 2023-10-26
- 試用了,非常不錯