网易安全中心

软件介绍

网易安全中心电脑版是一个强大的安全反馈平台，由网易公司推出。这款软件一直致力于将安全技术融入产品中，最大限度地保障用户的安全。用户可以通过该软件提交各种安全漏洞，并会对提交者给予一定的奖励，让网友一起加入网络安全领域，通过平台让用户更加了解安全。

网易安全中心作为漏洞提交平台，主要面临的是技术问题，而实际的应用是由网易账户中心、网易帮助中心、网易客户经理等平台进行的。提供的资源包是网易账户管理器，非常适合使用网易产品的用户。

软件特色

1.奖金计划

网易安全奖励计划有月度奖励、季度奖励、额外奖励等多重现金奖励。

2.响应速度

我们承诺每一份安全报告都会有专人进行评估和跟进，并及时反馈最新的处理进展。

3、审计标准

所有安全报告都将严格按照统一、公平、公正的审核标准进行评估和评分。

4.官方感谢

感谢安全专家对网易SRC的关注和支持，共同保护亿万用户的信息安全。

软件功能

1、安全检测：全方位检测您的账号，方便快捷的加固账号。

2.登录保护：开启登录保护后，登录网易产品需要网易账号管理员验证，有效防止账号被盗。

3.账户足迹：可以随时查看账户登录记录和操作记录，及早发现风险。

4.一键锁定号码：如果发现风险，可以立即锁定帐户，以减少数据和金钱损失。

5.快速修改密码：绑定账户并通过验证，即可随时修改密码，确保账户安全。

网易安全中心使用方法

网易安全中心(NSRC)漏洞提交规范

本文用于规范白帽提交漏洞和威胁信息的格式。漏洞或威胁信息的提交需要按照本规范进行填写，符合本规范要求的漏洞或威胁信息将被优先审核。

一、漏洞名称

1.应明确说明漏洞的业务、类型等信息，避免使用【某业务】、【某网站】、【网易】等通称；

2.如果不确定漏洞属于什么业务，请用域名或IP代替；

3.不需要在漏洞标题中写影响的内容和范围。如果避免使用标题【XXX漏洞泄露XX用户身份证】，请在漏洞详情中注明此类信息。

例如：

《网易严选搜索功能反射型XSS漏洞》

《xyz.163.com Jsonp劫持用户敏感信息》

《云音乐装修处越权查看用户敏感信息》

二、漏洞类型

1.请根据真实漏洞类型选择；

2.如果漏洞类型确实不清楚，请先确定漏洞类别，然后在相应的子类别中选择【其他】；

3.如果漏洞被多个漏洞组合利用，请选择最重要问题的漏洞类型；

4.提交黑灰情报、营销作弊、规则绕过、钓鱼网站等漏洞时，请优先考虑威胁情报。

三、漏洞等级

1.请严格根据漏洞的实际危害选择相应的漏洞等级，虚假标注漏洞等级会消耗大量资源进行响应。

四、漏洞URL

1.Web类漏洞需要提供漏洞URL

2.漏洞URL应该是漏洞最关键部分的URL，如存储XSS的输入或输出点页面的URL、SQL注入点的URL、反射后XSS的目标URL。

3.URL需要是一个完整的链接，而不仅仅是主域名。

例如：

https://www.xxx.com/foo/bar?爱丽丝=《沉思的XSS》

获取csrf:https://www.xxx.com/update/profile?名称=测试

五、漏洞详情

1.如无特殊必要，请直接在漏洞详情中填写所有信息，避免使用简单的描述文档/。。，所附文档/。。仅作为漏洞详情的补充说明；

2.准确描述位置、测试步骤、PoC/EXP、影响大小等。的漏洞，并提供关键步骤的截图，并用成功的截图和。。证明测试步骤和POC必须完整。如果客户端易受攻击，有必要提供准确的漏洞代码loca

4.对于接口URL漏洞，也请提供调用此接口的业务页面的URL，以及前置步骤或前置权限。如果有Referer验证的URL，需要提供预测试步骤，需要提供使用卖家账号购买XX服务后才能测试的漏洞，以及具体服务的地址；

5.异常漏洞类型，请提供额外的漏洞原理、原因、修复方案等。并附上参考资料的链接；普通漏洞不需要提供漏洞的上述信息；

6.如果漏洞的关键步骤是HTTP POST，请在漏洞详情末尾提供完整的POST包。下面是一个例子。请用" "线将邮政包裹与正文分开。HTTP头中的Cookie字段的值可以保留为空，但是Cookie字段名称需要保留。如果是文件上传等漏洞，请将包中的文件内容字段留空，以减少内容大小；

附：HTTP POST数据包提交格式

这是漏洞详细信息文本文本。

这是漏洞详细信息文本文本。

这是漏洞详细信息文本文本。

发布/欢迎HTTP/1.1

主持人：www.foo.com

连接：关闭

接受：application/json，text/javascript，*/*；q=0.01

x-Requested-With:XMLHttpRequest

content-Type:application/x-www-form-urlencoded；字符集=UTF-8

推荐人：https://taobao.com/index.html

接受编码：gzip，deflate

接受-语言：zh-CN，zh；q=0.9

cookie:[已删除]

id=ABCDE

部分漏洞详情额外要求说明

1.后式CSRF、CORS、Jsonp劫持等。请提供PoC和URL漏洞所在页面的；

2.存储XSS:请提供输入点所在页面的URL、输入点的字段名、有效载荷、输出点的URL以及输出点具体位置的截图描述。如果触发路径较长，应同时提供触发方法；

3.SQL注入漏洞：请提供注入点URL所在页面的URL(如果有)、注入点URL以及成功注入后的截图；

4.具有帐户验证的应用程序需要提供漏洞测试中使用的帐户名信息。

5.漏洞测试如果获得了webshell，请提供完整的webshell访问地址和连接密码。

网易安全中心常用问题

1.报告审核周期多长？

白帽提交漏洞后，审计员会在24小时内响应验证漏洞(法定节假日顺延)。

2.确认漏洞奖励什么时候到？

对于已确认的举报，举报状态将改为“已确认”，24小时后积分和投稿金将发放到账户。

3.兑换现金红包需要多长时间？

现金红包礼品兑换成功后，次月中旬发放。比如充现金的红包，3月份换的，4月中旬到账，如果支付期间有节假日，到账时间会延迟。因为公司的财务转账需要税务核实、领导审批、财务核实等各种流程。一般需要1-2周，转钱到账户的时间一般在中后期左右。希望你多多理解。

4.兑换实物礼物需要多长时间？

实物礼品兑换成功后，将于兑换周周五16: 00前进行统计并发货(非工作日顺延)。

5.通过实名认证审核需要多长时间？

工作人员每周五统一办理提交的实名认证(非工作日顺延)。

6.如何处理对漏洞评估结果的任何异议？

如果对漏洞评估结果有异议，可以先直接在漏洞下方评论，审计人员会及时回复评级原因。