活动 | 完美世界游戏安全漏洞竞技赛即将开启

 

活动简介

完美世界游戏安全漏洞竞技赛即将开启!

 

活动时间

2021年1月6日~2021年1月20日

活动范围

客户端游戏

诛仙3、完美国际、笑傲江湖OL、武林外传、神魔大陆2、梦幻诛仙2、赤壁、神鬼传奇   神雕侠侣、完美世界、口袋西游、热舞派对MAX等正式运营游戏。

 

手游

新诛仙手游、新笑傲江湖、新武林外传手游、云梦四时歌、神雕侠侣2手游、新神魔大陆手游、梦幻新诛仙手游、梦间集天鹅座、射雕英雄传3D、射雕英雄传手游、火炬之光、梦间集、倚天屠龙记、神雕侠侣手游等正式运营游戏。

 

活动详情

活动规则

活动只收取游戏类漏洞,不包括游戏网页。

例如:诛仙游戏官网漏洞(http://zhuxian.wanmei.com/main.htm)属于网页漏洞,不在本次活动范围内。

活动奖励按照漏洞数量和质量叠加计算,首次提交有效漏洞即可获得2倍积分,单个漏洞首次提交最高奖励可高达14000元。

  • 低危不叠加

  • 中危每次叠加 0.1

  • 高危每次叠加 0.3

  • 严重每次叠加 0.5

举例说明:

白帽子第一个提交的有效漏洞为高危,漏洞积分*2,则第n个高危有效漏洞,
漏洞积分为 2+0.3n,以此类推,最多可叠加到4倍。
如果白帽子第一个提交有效漏洞为高危,漏洞积分*2,但第二个提交有效漏洞为中危,则第二个有效漏洞按照中危的计算方式重新计算,积分*2,白帽子提交的第三个漏洞为高危时,第三个漏洞按照第二个高危*2.6计算。

完美世界游戏类安全漏洞评级标准试行

严重漏洞

充值安全漏洞:包括但不限于通过特定手段修改商品价格并能够成功支付,并且虚拟货币能够到账的漏洞。

影响游戏正常数据的漏洞:包括但不限于通过某种非法手段达到霸榜的漏洞,影响到游戏的正常数据的。

身份伪造漏洞:包括但不限于伪造系统官方发布官方公告,影响范围较大,造成严重危害的。或者伪造官方向每个玩家发送虚假信息,诈骗信息的漏洞。

账号安全漏洞:游戏账号认证方面存在的弱点导致攻击者可以获取大量的用户账号信息,获取到的账号信息可以正常登陆,并能绕过游戏中为敏感行为设置的安全验证机制,如出售、转赠、销毁高价值商品的漏洞。

客户端安全漏洞:游戏中使用的第三方组件或者自研组件存在安全风险,导致该漏洞可以被远程利用,并且能够达到RCE效果的。

其他类型漏洞:任何影响游戏正常营收的漏洞,包括但不限于高价值游戏装备被无限制刷取、游戏装备在交易中存在逻辑缺陷导致游戏营收受影响的漏洞。

高危漏洞

客户端安全漏洞:可远程使客户端无法正常运行、或者使客户端崩溃的漏洞,如第三方组件在处理聊天信息时未未做完全的校验限制,导致客户端崩溃。

影响用户体验、游戏公平性/游戏运营的外挂威胁:包括但不限于飞天、遁地、瞬移、锁血、穿墙、隐身、透视、自动化刷怪等外挂类型。

账号安全漏洞:游戏账号认证方面存在的弱点导致攻击者可以获取大量的用户账号信息,但获取的账号仅能进行简易的操作、不能实现变卖、转移高价值商品的漏洞。

身份伪造漏洞:包括但不限于伪造系统官方发布非官方渠道公告、消息,或者伪装其他玩家和玩家私聊、交易,但未造成严重危害的。

设计缺陷漏洞:包括但不限于游戏在玩法上、系统设计上有缺陷,导致游戏的正常运营、营收、玩家的游戏体验上受到很大影响的。

中危漏洞:

设计缺陷漏洞:客户端或服务端逻辑设计缺陷,包括权限绕过执行未授权行为,私密数据未授权访问。如访问其他玩家私密数据信息、未登陆状态可通过某种手段达到发送信息到公屏等。

交互类漏洞:上述高危、严重漏洞中,需要玩家进行交互才可以利用的,包括但不限于访问指定URL、点击、或者其他行为。

服务端拒绝服务攻击漏洞:包括但不限于游戏客户端某一接口存在问题导致能高并发请求服务器,并且能够使服务器无法提供正常服务的漏洞。

游戏运营配置漏洞:包括但不限于本地可查看未上线的活动商品、或者服务端商品未及时下线,导致本地通过某种方式手段能进行成功购买的漏洞。

低危漏洞:

拒绝服务漏洞:包括但不限于本地、同局域网、近场通信、第三方组件等其他环境下影响游戏客户端正常运行的漏洞。

信息轰炸漏洞:包括但不限于无限制地发送私聊、公屏消息,导致游戏运营的正常消息通知无法正常显示的漏洞。

其他类型漏洞:包括但不限于游戏装备可以被恶意刷取,但游戏商品价值不高的漏洞。

* 具体实际奖励会根据漏洞的危害性、影响情况等在范围内浮动。

注意事项及风险规避

  1. 根据漏洞等级 PWSRC 会给出对应奖励。以上奖励均以积分的形式发放,1积分=5元人民币。
  2. 以上奖励的奖励范围为本次活动范围,不包含其他业务。
  3. 如白帽子对《SRC行业安全测试规范》违约,或者未按照规定进行安全测试,将扣除所属漏洞的全部奖励,并严格按照协议中的违约行为处理。
  4. 漏洞测试和提交准则请参照《PWSRC漏洞反馈处理流程与奖励说明》。
  5. 在漏洞挖掘过程中,发现的相关漏洞应严格保密,禁止提交到其它的众测平台或对外发布;禁止利用发现漏洞实施非法活动;测试过程中发现的所有漏洞都需如实反馈,写进漏洞报告;若提前对外公布细节、虚假漏洞、已知重复漏洞等行为将不予奖励。
  6. 测试过程不得损害业务正常运行,不得以测试漏洞为借口,利用安全漏洞进行破坏,尝试利用漏洞损害玩家利益,影响业务的正常运行或盗取玩家数据等行为。
  7. 在测试过程中如包含数据获取功能时,包括但不限于SQL注入、用户信息的越权获取等,应采取手动测试,且获取的数据量不能超过5条,相关数据也需在报告后尽快删除。
  8. 测试命令执行、数据库注入、webshell上传、供应链攻击等可直接威胁内网及数据库安全的漏洞,发现问题后需立马周知完美世界SRC,经授权后才能进行横向移动,未经授权禁止植入后门或者对内网其他主机进行测试。

福利时间

活动期间前 10 位,提交有效安全漏洞的白帽子,均获得梦间集超大鼠标垫一份。
(完)