PDF《网易安全中心安全报告》

网易公司 第1页共11页 网易安全中心安全报告 处理说明 【Version 3.

2】 网易安全中心 网易公司 第2页共11页 文档修订记录 序号 版本 主要修改内容 日期

1 V1.0 第一版 2013.01.28

2 V2.0 修改了排名奖励规则,以总贡献值高低排名. 2013.02.04

3 V2.1 细化通用规则:包含对漏洞源问题的补充说明;

对不同 条件触发的漏洞评分标准作补充说明. 2013.04.24

4 V3.0 调整了评分规则,奖励制度更改为贡献币兑换. 2013.06.04

5 V3.1 主打产品新增易信. 2013.09.11

6 V3.2 调整低危评分规则,奖励制度调整. 2014.01.07 网易公司 第3页共11页 目录

1 文档说明

4 2 基本原则

5 3 安全报告处理流程.6

4 安全报告评分规则.7

5 贡献币计算规则

9 6 奖励制度

10 7 争议处理流程

11 网易公司 第4页共11页1文档说明 【试用范围】 本流程适用于网易安全中心(aq.163.com)安全报告处理流程. 【实行日期】 自发布之日起实行. 网易公司 第5页共11页2基本原则

1、 网易公司一直致力于保障用户安全,我们希望通过 白帽子找漏洞 活动加强与业界合 作,我们承诺:每一份安全报告,都会有专人评估、跟进并及时反馈最新处理进展.

2、 网易非常重视安全问题,对于恪守 白帽子精神 并积极维护网易用户与产品安全的白 帽子们,我们会给予感谢和回馈.

3、 网易反对和谴责一切以漏洞测试为借口,利用安全漏洞进行破坏、损害用户利益的黑客 行为,包括但不限于利用漏洞盗取用户隐私及虚拟财产、入侵业务系统、非授权获取系 统(业务)数据、窃取用户数据、恶意传播漏洞或数据等.如有上述行为,网易将追究 其法律责任.

4、 网易希望加强与业界合作,通过 网聚人的力量 集结业界安全专家、安全组织机构, 共同维护互联网安全. 网易公司 第6页共11页3安全报告处理流程 【漏洞提交】 登录网易安全中心(aq.163.com)提交报告,提交成功后显示状态 已提交 . 【漏洞审核阶段】 网易安全中心4小时内专员审核 (法定节假日顺延) , 即审核流程开始时报告状态变更为 审 核中 .不属于安全漏洞的报告状态变更为 误报 ;

已经确认的报告状态变更为 已确 认 ,同时可获得相应积分及计算后的贡献币. 【漏洞处理阶段】 漏洞修复需要一定时间,有新的进展我们会第一时间反馈给提交者.修复后的报告状态变 更为 已修复 . 网易公司 第7页共11页4安全报告评分规则 根据漏洞危害程度分为严重、高危、中危、低危、误报四个等级,每个等级涵盖的漏洞以及 评分标准如下: 严重(权重 15) : 分值 9~10 分,本等级包括:

1、 直接获取系统权限 (服务器端权限、 客户端权限) 的漏洞. 包括但不仅限于: 命令注入、 上传获取 WebShell、SQL 注入获取系统权限、缓冲区溢出(包括可利用的 ActiveX 缓冲 区溢出).

2、 严重的逻辑设计缺陷.包括但不仅限于任意账号登陆、任意账号密码修改、任意账号发 送邮件、任意账号资金消费.

3、 严重的敏感信息泄露.包括但不仅限于重要 DB 的SQL 注入、包含敏感信息的源文件压 缩包泄露. 高危(权重 5) : 分值 6~8 分,本等级包括:

1、 敏感信息泄露.包括但不仅限于 SQL 注入、源文件压缩包泄露、可获取任意信息的 XXE 漏洞、可包含任意文件的 SSI 漏洞、系统层面的路径遍历、可获取大量用户信息的 js hijacking.