PDF《网易安全中心安全报告》

2、 越权访问.包括但不仅限于绕过认证直接访问管理后台、后台弱密码.

3、 大范围影响用户的其他漏洞.包括但不仅限于可造成自动传播的存储型 XSS(包括存储 型DOM-XSS)、CSRF.

4、 直接导致拒绝服务的漏洞.包括但不仅限于远程拒绝服务漏洞. 中危(权重 3) : 分值 3~5 分,本等级包括:

1、 需交互才能影响用户的漏洞.包括但不限于反射型 XSS(包括反射型 DOM-XSS)、不可 自动传播的 CSRF、CRLF.

2、 普通信息泄露.包括但不仅限于、js hijacking 获取用户信息、WEB 层的路径遍历.

3、 普通越权操作.包括但不仅限于不正确的直接对象引用.

4、 普通逻辑设计缺陷.包括但不仅限于短信验证码绕过、邮件验证绕过. 低危(权重 1) : 分值 1~2 分,本等级包括:

1、 轻微信息泄露. 包括但不仅限于路径信息泄露、 svn 信息泄露、 phpinfo、 异常信息泄露. 网易公司 第8页共11页

2、 URL 跳转.包括但不仅限于未验证的重定向和转发.

3、 逻辑设计缺陷:包括但不仅限于图形验证绕过.

4、 难以利用或无法利用的漏洞.包括但不仅限于文件解析漏洞、Self-XSS 等. 误报: 分值

0 分,本等级包括:

1、 不涉及安全问题的 bug.包括但不仅限于产品功能缺陷、页面乱码、样式混乱.

2、 不能重现的漏洞.包括但不仅限于经网易安全中心专员确认无法重现的漏洞.

3、 不能直接体现漏洞的其他问题.包括但不仅限于纯属用户猜测的问题. 评分标准通用原则:

1、 评分标准仅适用于网易的所有产品和服务. 域名包括但不仅限于*.163.com、 *.126.com、 *.yeah.net、*.188.com、*.lofter.com、*.youdao.com、*.netease.com.与网易完全 无关的漏洞不计分.

2、 提交网上已公开的漏洞不计分.

3、 同一漏洞最早提交者得分.

4、 第三方产品的漏洞只给第一个提交者计分,最高不超过

5 分,且不保证修复时间,包括 但不仅限于网易正在使用的 discuz、wordpress,以及服务端相关组件.

5、 由同一个漏洞源产生的多个漏洞计漏洞数量为一个,例如;

服务器某一配置、应用框架 某一全局功能、同一文件或模板、泛域名解析等引起的多个问题.

6、 漏洞报告者复查漏洞时如果发现漏洞仍然存在或未修复好,当作新漏洞继续得分.

7、 各等级漏洞的最终得分由漏洞利用的难易程度及影响范围等因素确定.若漏洞触发条件 非常苛刻, 包括但不限于特定浏览器才能触发的 xss 问题, 则可跨等级调整分数, 例如: 仅在 IE6 下触发的 XSS 等.

8、 同一个报告里提交多个漏洞,只按级别最高的漏洞计分. 网易公司 第9页共11页5贡献币计算规则 特别声明: 网易认为,任何漏洞都值得关注,我们对互联网产品的安全始终给予全面和认真的对待.而 同时, 基于网易公司自身在互联网领域的布局特点, 我们决定在评定每例安全报告时针对主 打产品引入产品应用系数(以下简称:应用系数),以此奖励挖掘出主打产品安全问题的安 全专家. 【主打产品】 (应用系数 3) 网易通行证、网易邮箱、网易宝、大型游戏客户端、新闻客户端、有道词典客户端、易信等 产品的核心功能. 【贡献币计算公式】 提交安全报告后由安全工程师根据漏洞类型判断漏洞级别, 再根据漏洞影响范围综合评估确 定积分.积分、权重的乘积为用户在该例报告中获得的贡献币. 每例安全报告中贡献币的计算公式为: 贡献币=积分*权重 若为主打产品的安全报告则还将获得应用系数. 主打产品在每例安全报告中贡献币的计算公式为: 贡献币=积分*权重*应用系数 积分、权重、应用系数对应关系如下: 漏洞类型 积分 权重 应用系数(主打产品) 严重 9~10