网易安全中心app

　　网易安全中心电脑版是一款功能强大的安全反馈平台，软件给用户提供了非常多实用的功能和服务，用户可以通过这款软件最大化的保障自己电脑的安全，软件致力于让用户可以获得最好的电脑实用体验，而且软件的界面简洁明了，操作起来非常的简单快捷，有需求的用户赶快来下载体验吧!

软件特色

　　1、奖励计划

　　网易安全奖励计划设有月度奖励、季度奖励、额外奖励等多重现金奖励

　　2、响应速度

　　我们承诺每份安全报告都会有专人评估跟进，并及时反馈最新处理进展

　　3、审核标准

　　所有安全报告都会严格按照审核标准进行评估定级，标准统一公平公正

　　4、官方致谢

　　感谢广大安全专家对网易 SRC 的关注与支持，共同守护亿万用户信息安全

软件功能

　　1、安全检测：全方位检测您的帐号，方便快捷加固帐号

　　2、登录保护：开启登录保护后，登录网易产品需要网易帐号管家进行验证，有效预防帐号被盗

　　3、帐号足迹：可随时查询帐号登录记录和操作记录，提早发现风险

　　4、一键锁号：发现风险可立刻锁定帐号，减少资料和金钱损失

　　5、快速改密：绑定帐号并通过验证，即可随时修改密码保证帐号安全

网易安全中心使用方法

　　网易安全中心(NSRC)漏洞提交规范

　　本文用于规范白帽子提交漏洞及威胁情报的格式。提交漏洞或威胁情报需要按本规范填写，符合规范要求的漏洞或威胁情报将优先审核。

　　一、漏洞名称

　　1. 应明确说明漏洞所在业务、漏洞类型等信息，避免使用【某业务】、【某网站】、【网易】等泛指的词;

　　2. 若不确定漏洞所属的业务是什么，请使用域名或IP等代替;

　　3. 漏洞标题中不需要写影响的内容、影响的范围等。如避免使用标题【XXX漏洞泄露用户身*证XX个】等，此类信息请在漏洞详情中写明。

　　举例：

　　《网易严选搜索功能反射型XSS漏洞》

　　《xyz.163.com Jsonp劫持用户敏感信息》

　　《云音乐装修处越权查看用户敏感信息》

　　二、漏洞类型

　　1. 请按真实漏洞类型选择;

　　2. 对于漏洞类型确实不明确的，请先确定漏洞大类，再选择相应小类里的【其他】;

　　3. 若漏洞是由若干漏洞组合利用的，请选择其中最主要问题的漏洞类型;

　　4. 黑灰产情报、营销作弊、规则绕过、钓鱼网站等漏洞提交时，漏洞类型请优先选择威胁情报。

　　三、漏洞等级

　　1. 请严格按漏洞实际危害选择对应的漏洞等级，虚标漏洞等级会消耗大量资源响应。

　　四、漏洞URL

　　1. Web 类漏洞需要提供漏洞URL;

　　2. 漏洞 URL 应当为漏洞最关键部分的URL，如存储XSS的输入或输出点页面URL、SQL注入点的URL、POST型反射XSS的目标URL等。

　　3. URL需要是完整的链接，不能仅写主域名。

　　举例:

　　反射型XSS：https://www.xxx.com/foo/bar?alice=

　　GET型CSRF：https://www.xxx.com/update/profile?name=test

　　五、漏洞详情

　　1. 如无特殊必要情况，所有信息请直接填写在漏洞详情中，避免使用简单描述+文档/视频等方式，附加的文档/视频仅作为漏洞详情补充说明;

　　2. 准确描述漏洞出现的位置、测试步骤、PoC/EXP、影响大小等，并提供关键步骤的截图、利用成功的截图、视频等证明，测试步骤和POC必须完整。如客户端漏洞需要提供准确的漏洞代码位置，包括包名、类名、关键部位代码问题说明;业务逻辑漏洞，需要明确说明功能入口;

　　3. 客户端漏洞需要提供存在问题的客户端、版本号，特殊渠道下载的包请说明下载来源;

　　4. 接口类URL漏洞，请同时提供调用此接口的业务页面URL，及前置步骤或前置权限，如有Referer校验的URL需要提供前置的测试步骤、需要使用卖家账号并购买了XX服务后才能测试的漏洞需要提供具体服务的地址;

　　5. 非常见漏洞类型请额外提供漏洞原理、成因、修复方案等，并附上参考资料链接;常见漏洞无需提供漏洞上述信息;

　　6. 漏洞关键步骤为HTTP POST的，请在漏洞详情末尾提供完整POST包，示例见下，POST包与正文请使用一行“+++++++++++”隔开， HTTP头的Cookie字段的值可置空，但需要留有Cookie字段名，若为文件上传类等漏洞，请把包中文件内容字段置空以减少内容大小;

　　附：HTTP POST数据包提交格式

　　这是漏洞详情正文正文正文

　　这是漏洞详情正文正文正文

　　这是漏洞详情正文正文正文

　　++++++++++++++++++

　　POST /welcome HTTP/1.1

　　Host: www.foo.com

　　Connection: close

　　Accept: application/json, text/javascript, */*; q=0.01

　　X-Requested-With: XMLHttpRequest

　　Content-Type: application/x-www-form-urlencoded; charset=UTF-8

　　Referer: https://taobao.com/index.html

　　Accept-Encoding: gzip, deflate

　　Accept-Language: zh-CN,zh;q=0.9

　　Cookie: [deleted]

　　id=ABCDE

　　++++++++++++++++

　　部分漏洞详情额外要求说明

　　1. POST型CSRF、CORS、Jsonp劫持等：请提供PoC、漏洞所在页面URL;

　　2. 存储型XSS：请提供输入点所在页面URL、输入点字段名、Payload、输出点URL、输出点具体位置的截图说明，如果触发路径较长，需同时提供触发方式;

　　3. SQL注入漏洞：请提供注入点URL所在页面URL(如果有)、注入点URL、注入成功后的截图;

　　4. 有账号认证的应用需提供漏洞测试时所使用的账号名信息。

　　5. 漏洞测试如果获取到webshell，请提供完整的webshell访问地址和连接密码。

网易安全中心常用问题

　　1、报告审核周期多长时间?

　　白帽提交漏洞后，审核人员会在24小时内响应对漏洞进行验证(法定节假日顺延)。

　　2、已确认漏洞奖励什么时间到账?

　　已确认的报告，自报告状态变更为“已确认”，积分和贡献币将在24H后发放至账户。

　　3、兑换现金红包到账时间是多久?

　　现金红包礼品兑换成功后，将在次月中旬统一发放，例如，3月份兑换的现金红包将于4月中旬到账，打款期间遇节假日，到账时间将延后。因公司财务打款需税务核税、领导审批、财务核查等各项流程，一般需1-2周时间，打款到账时间一般在中下旬左右，希望大家多多理解。

　　4、兑换实物礼品到账时间是多久?

　　实物礼品兑换成功后，将在兑换当周星期五16点前进行统计与派送(非工作日顺延)。

　　5、实名认证审核需要多久通过?

　　工作人员会在每周五统一处理提交的实名认证(非工作日顺延)。

　　6、对漏洞评估结果有异议如何处理?

　　如您对漏洞评估结果有任何异议，首先可直接在漏洞下方评论，审核人员会及时响应答复定级原因。

网易安全中心软件功能

　　1、网易安全奖励计划设有月度奖励、季度奖励、额外奖励等多重现金奖励。

　　2、我们承诺每份安全报告都会有专人评估跟进，并及时反馈最新处理进展。

　　3、所有安全报告都会严格按照审核标准进行评估定级，标准统一公平公正。

网易安全中心软件亮点

　　1、发现风险可立刻锁定帐号，减少资料和金钱损失。

　　2、绑定帐号并通过验证，即可随时修改密码保证帐号安全。

　　3、感谢广大安全专家对网易 SRC 的关注与支持，共同守护亿万用户信息安全。