网易安全中心是一款专门为了网络安全而打造的网络安全反馈软件,由网易公司推出,这款软件一直致力于将安全技术融入产品,最大化的保障用户安全,用户可以将各种安全漏洞通过这款软件进行提交,并且会对提交者进行一定的奖励,让广大网友们一起加入网络安全领域,让用户通过平台更加了解安全。网易安全中心作为一个漏洞提交平台主要面对技术层面的问题,而实际应用则交由网易账号中心、网易帮助中心、网易账号管家等平台进行实际实施,分享的资源包是网易账号管家,非常适合使用网易产品的用户进行使用。
软件特色
1、奖励计划
网易安全奖励计划设有月度奖励、季度奖励、额外奖励等多重现金奖励
2、响应速度
我们承诺每份安全报告都会有专人评估跟进,并及时反馈最新处理进展
3、审核标准
所有安全报告都会严格按照审核标准进行评估定级,标准统一公平公正
4、官方致谢
感谢广大安全专家对网易 SRC 的关注与支持,共同守护亿万用户信息安全
软件功能
1、安全检测:全方位检测您的帐号,方便快捷加固帐号
2、登录保护:开启登录保护后,登录网易产品需要网易帐号管家进行验证,有效预防帐号被盗
3、帐号足迹:可随时查询帐号登录记录和操作记录,提早发现风险
4、一键锁号:发现风险可立刻锁定帐号,减少资料和金钱损失
5、快速改密:绑定帐号并通过验证,即可随时修改密码保证帐号安全
网易安全中心使用方法
网易安全中心(NSRC)漏洞提交规范
本文用于规范白帽子提交漏洞及威胁情报的格式。提交漏洞或威胁情报需要按本规范填写,符合规范要求的漏洞或威胁情报将优先审核。
一、漏洞名称
1. 应明确说明漏洞所在业务、漏洞类型等信息,避免使用【某业务】、【某网站】、【网易】等泛指的词;
2. 若不确定漏洞所属的业务是什么,请使用域名或IP等代替;
3. 漏洞标题中不需要写影响的内容、影响的范围等。如避免使用标题【XXX漏洞泄露用户身*证XX个】等,此类信息请在漏洞详情中写明。
举例:
《网易严选搜索功能反射型XSS漏洞》
《xyz.163.com Jsonp劫持用户敏感信息》
《云音乐装修处越权查看用户敏感信息》
二、漏洞类型
1. 请按真实漏洞类型选择;
2. 对于漏洞类型确实不明确的,请先确定漏洞大类,再选择相应小类里的【其他】;
3. 若漏洞是由若干漏洞组合利用的,请选择其中最主要问题的漏洞类型;
4. 黑灰产情报、营销作弊、规则绕过、钓鱼网站等漏洞提交时,漏洞类型请优先选择威胁情报。
三、漏洞等级
1. 请严格按漏洞实际危害选择对应的漏洞等级,虚标漏洞等级会消耗大量资源响应。
四、漏洞URL
1. Web 类漏洞需要分享漏洞URL;
2. 漏洞 URL 应当为漏洞最关键部分的URL,如存储XSS的输入或输出点页面URL、SQL注入点的URL、POST型反射XSS的目标URL等。
3. URL需要是完整的链接,不能仅写主域名。
举例:
反射型XSS:https://www.xxx.com/foo/bar?alice=
GET型CSRF:https://www.xxx.com/update/profile?name=test
五、漏洞详情
1. 如无特殊必要情况,所有信息请直接填写在漏洞详情中,避免使用简单描述+文档/视频等方式,附加的文档/视频仅作为漏洞详情补充说明;
2. 准确描述漏洞出现的位置、测试步骤、PoC/EXP、影响大小等,并分享关键步骤的截图、利用成功的截图、视频等证明,测试步骤和POC必须完整。如客户端漏洞需要分享准确的漏洞代码位置,包括包名、类名、关键部位代码问题说明;业务逻辑漏洞,需要明确说明功能入口;
3. 客户端漏洞需要分享存在问题的客户端、版本号,特殊渠道下载的包请说明下载来源;
4. 接口类URL漏洞,请同时分享调用此接口的业务页面URL,及前置步骤或前置权限,如有Referer校验的URL需要分享前置的测试步骤、需要使用卖家账号并购买了XX服务后才能测试的漏洞需要分享具体服务的地址;
5. 非常见漏洞类型请额外分享漏洞原理、成因、修复方案等,并附上参考资料链接;常见漏洞无需分享漏洞上述信息;
6. 漏洞关键步骤为HTTP POST的,请在漏洞详情末尾分享完整POST包,示例见下,POST包与正文请使用一行“+++++++++++”隔开, HTTP头的Cookie字段的值可置空,但需要留有Cookie字段名,若为文件上传类等漏洞,请把包中文件内容字段置空以减少内容大小;
附:HTTP POST数据包提交格式
这是漏洞详情正文正文正文
这是漏洞详情正文正文正文
这是漏洞详情正文正文正文
++++++++++++++++++
POST /welcome HTTP/1.1
Host: www.foo.com
Connection: close
Accept: application/json, text/javascript, */*; q=0.01
X-Requested-With: XMLHttpRequest
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Referer: https://taobao.com/index.html
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: [deleted]
id=ABCDE
++++++++++++++++
部分漏洞详情额外要求说明
1. POST型CSRF、CORS、Jsonp劫持等:请分享PoC、漏洞所在页面URL;
2. 存储型XSS:请分享输入点所在页面URL、输入点字段名、Payload、输出点URL、输出点具体位置的截图说明,如果触发路径较长,需同时分享触发方式;
3. SQL注入漏洞:请分享注入点URL所在页面URL(如果有)、注入点URL、注入成功后的截图;
4. 有账号认证的应用需分享漏洞测试时所使用的账号名信息。
5. 漏洞测试如果获取到webshell,请分享完整的webshell访问地址和连接密码。
网易安全中心常用问题
1、报告审核周期多长时间?
白帽提交漏洞后,审核人员会在24小时内响应对漏洞进行验证(法定节假日顺延)。
2、已确认漏洞奖励什么时间到账?
已确认的报告,自报告状态变更为“已确认”,积分和贡献币将在24H后发放至账户。
3、兑换现金红包到账时间是多久?
现金红包礼品兑换成功后,将在次月中旬统一发放,例如,3月份兑换的现金红包将于4月中旬到账,打款期间遇节假日,到账时间将延后。因公司财务打款需税务核税、领导审批、财务核查等各项流程,一般需1-2周时间,打款到账时间一般在中下旬左右,希望大家多多理解。
4、兑换实物礼品到账时间是多久?
实物礼品兑换成功后,将在兑换当周星期五16点前进行统计与派送(非工作日顺延)。
5、实名认证审核需要多久通过?
工作人员会在每周五统一处理提交的实名认证(非工作日顺延)。
6、对漏洞评估结果有异议如何处理?
如您对漏洞评估结果有任何异议,首先可直接在漏洞下方评论,审核人员会及时响应答复定级原因。
下载仅供下载体验和测试学习,不得商用和正当使用。
下载体验