活動時間
2020.12.15-2020.12.28
活動規則
1、參與及報告提交:
參與活動,需要先在活動頁面報名,所有報告需在活動頁提交
2、活動獎勵與2020ASRC月度獎勵、2020ASRC高危嚴重額外獎勵、王牌A權益兼得
ASRC日常獎勵:
https://www.yuque.com/docs/share/9f4cfa5b-4d36-4302-b535-379d6d5fe5de?#
活動範圍
三國志戰略版(桌面版、App及Android)
遊戲下載連結:https://sgz.ejoy.com/
可提供測試賬號,如需要請新增工作人員釘釘
(smartdog),備註阿里遊戲眾測
活動獎勵
一、漏洞型別及獎勵
注:1安全幣=10元
二、高危嚴重獎勵
首個高危嚴重,額外獎勵1000元
提交3個以上高危嚴重,額外獎勵5000元
三、榮譽獎牌
活動第一名將獲得榮譽獎牌
四、定製禮物
在活動中提交有效報告,即可獲得ASRC定製充電寶一個
遊戲漏洞評級標準
嚴重漏洞
1、影響遊戲可用性的漏洞
包括但不限於導致伺服器端遊戲服務程式崩潰、無響應,或導致遊戲某個核心玩法無法正常使用的遠端拒絕服務漏洞等。
2、影響遊戲營收的漏洞
包括但不限於盜刷只能使用現金購買或高價稀有的可轉賣遊戲裝備、角色、資源等,盜刷海量遊戲代幣等。
3、影響遊戲資料的漏洞
包括但不限於以任意非正常方式達到全服任意排行榜前3名,造成資料明顯異常影響遊戲口碑的漏洞等。
4、可應用於PVP模式或遊戲核心玩法中的外掛漏洞
外掛漏洞型別包括但不限於無敵、秒殺、技能無CD、全屏攻擊、變速、飛天遁地、瞬移、隱身、越權踢人、強制投降、全圖顯示、100%暴擊、快速通關等對遊戲平衡性造成嚴重破壞的漏洞。
5、賬號漏洞
可以獲取大量使用者賬號許可權的漏洞(不包含木馬盜號、釣魚等),可繞過安全驗證登入他人賬號,並造成高價值物品轉移或銷燬,或直接刪除他人賬號中的遊戲角色的漏洞。
6、偽造身份的漏洞
包括但不限於偽造遊戲官方、系統身份在遊戲內傳送系統公告,或以遊戲官方、系統身份在遊戲聊天的系統頻道中傳送虛假訊息的漏洞,並可觸達海量玩家。
高危漏洞
1、影響玩家可用性的漏洞
包括但不限於可遠端(不包括同Wi-Fi、藍芽等近場攻擊)導致大量玩家遊戲客戶端崩潰或完全無法使用的漏洞。
2、可應用於PVE模式或遊戲非核心玩法中的外掛漏洞
外掛型別包括但不限於無敵、秒殺、技能無CD、全屏攻擊、弱化怪物、加速、飛天遁地、瞬移、隱身、全圖顯示、100%暴擊、快速通關等一些遊戲中正常無法實現的變態行為的漏洞。
3、影響遊戲營收的漏洞
包括但不限於盜刷大量普通可轉賣遊戲裝備、角色、資源等,盜刷大量遊戲代幣等。
4、賬號漏洞
可以獲取大量使用者賬號許可權(不包含木馬盜號、釣魚等),但登入後僅能進行常規操作,無法竊取使用者高價值遊戲物品、角色等的漏洞。
5、偽造身份的漏洞
包括但不限於偽造遊戲官方、系統身份影響少量玩家,或能偽造任意玩家身份進行世界聊天、交易、工會管理的漏洞。
中危漏洞
1、以任意手段繞過遊戲客戶端或伺服器限制,形成有異於正常的遊戲行為,但影響較小,或收益甚微的漏洞。
包括但不限於:遮蔽物品採集或技能引導的進度條或突破遊戲限制、購買商品列表之外的物品、增加抽獎抽卡的次數或中獎概率等。
2、遊戲資訊洩漏漏洞
包括但不限於可竊取其他玩家遊戲中的聊天記錄、戰略方案等私密資訊。
3、互動類漏洞
需要使用者互動才能利用的上述高危嚴重中提及的漏洞,包括需要使用者點選、訪問給定URL、進行特定操作等才能利用的漏洞。
低危漏洞
1、本地拒絕服務
包括但不限於本地、同Wi-Fi、藍芽近場等環境下導致玩家遊戲客戶端崩潰或完全無法使用的漏洞。
2、資訊轟炸類
包括但不限於可在遊戲內向任意玩家傳送海量資訊,導致正常通知、公告或關鍵遊戲資訊被淹沒的漏洞等。
無危漏洞
其他不直接造成安全問題的遊戲Bug、樣式混亂等。
測試要求
1. 測試越權等問題時,請嚴格限制在測試賬號範圍內測試,避免影響正常使用者;
2. 可能影響其他真實使用者的Payload請在測試驗證漏洞存在後及時刪除;
3. 若以上要求確實無法避免的,請及時聯絡ASRC運營人員,獲得同意後再測試,涉及到真實賬號、使用者資訊遍歷等問題,請嚴格限制讀取條數。
4. 不能破壞線上服務的穩定執行,禁止測試任何蠕蟲類、拒絕服務類(服務端)漏洞、可能導致拒絕服務的漏洞;客戶端拒絕服務漏洞嚴格控制影響範圍;
注意事項
1、高風險操作(刪除、命令執行、操作檔案等),需要先向ASRC@觀行/賢唐報備,請勿自行進行高風險操作
2、本次眾測請勿使用任何形式的自動化測試工具、指令碼進行測試、暴力破解、Fuzzing等。
3、禁止使用大型自動化掃描工具,避免對使用者的生產系統造成意外破壞,儘量手測;請勿進行可能影響服務穩定的測試,如DoS等。
4、遵守SRC測試規範,對於可深入利用的漏洞需要聯絡運營人員確認後才能繼續,如後臺弱口令登入後的功能檢視、資訊檢視、漏洞深挖等。
5、漏洞確認以介面為準。譬如網站和app都存在任意密碼重置漏洞,但是介面完全一致,算一個漏洞,請知曉。
6、通過弱口令、爆破等方式進入管理後臺後發現的注入、越權等漏洞會做打包或者降級處理。
7、本次只有第一個提交的漏洞會被確認(漏洞描述不清的直接忽略) ,其餘按照重複忽略。
8、SQL隱碼攻擊要求至少到注出資料庫名稱,不達標按駁回處理;
9、如果業務全站都未做過濾,存在十幾個或者幾十個注入等漏洞,ASRC會做一定的特殊處理,僅確認前三個,不提倡刷洞。
10、同一功能模組下多個注入點或者多個XSS、CSRF、越權等算一個漏洞。
11、測試過程中發現問題,請聯絡觀行處理。
12、請按照漏洞標準正確勾選等級,勿隨意勾選嚴重漏洞等級。
13、本次活動只接收符合以上標準的漏洞。。
14、禁止利用漏洞進行損害使用者利益、影響業務運作、盜取使用者資料等行為的,同時阿里巴巴集團保留採取進一步法律行動的權利。