阿里遊戲眾測活動

Editor發表於2020-12-11
阿里遊戲

阿里遊戲眾測活動


活動時間

2020.12.15-2020.12.28


活動規則

1、參與及報告提交:

參與活動,需要先在活動頁面報名,所有報告需在活動頁提交

2、活動獎勵與2020ASRC月度獎勵、2020ASRC高危嚴重額外獎勵、王牌A權益兼得

ASRC日常獎勵:

https://www.yuque.com/docs/share/9f4cfa5b-4d36-4302-b535-379d6d5fe5de?#


活動範圍

三國志戰略版(桌面版、App及Android)

遊戲下載連結:https://sgz.ejoy.com/

阿里遊戲眾測活動

可提供測試賬號,如需要請新增工作人員釘釘

(smartdog),備註阿里遊戲眾測


活動獎勵

一、漏洞型別及獎勵

圖片

注:1安全幣=10元


二、高危嚴重獎勵

首個高危嚴重,額外獎勵1000元

提交3個以上高危嚴重,額外獎勵5000元


三、榮譽獎牌

活動第一名將獲得榮譽獎牌

圖片


四、定製禮物

在活動中提交有效報告,即可獲得ASRC定製充電寶一個


遊戲漏洞評級標準

嚴重漏洞

1、影響遊戲可用性的漏洞

包括但不限於導致伺服器端遊戲服務程式崩潰、無響應,或導致遊戲某個核心玩法無法正常使用的遠端拒絕服務漏洞等。

2、影響遊戲營收的漏洞

包括但不限於盜刷只能使用現金購買或高價稀有的可轉賣遊戲裝備、角色、資源等,盜刷海量遊戲代幣等。

3、影響遊戲資料的漏洞

包括但不限於以任意非正常方式達到全服任意排行榜前3名,造成資料明顯異常影響遊戲口碑的漏洞等。

4、可應用於PVP模式或遊戲核心玩法中的外掛漏洞

外掛漏洞型別包括但不限於無敵、秒殺、技能無CD、全屏攻擊、變速、飛天遁地、瞬移、隱身、越權踢人、強制投降、全圖顯示、100%暴擊、快速通關等對遊戲平衡性造成嚴重破壞的漏洞。

5、賬號漏洞

可以獲取大量使用者賬號許可權的漏洞(不包含木馬盜號、釣魚等),可繞過安全驗證登入他人賬號,並造成高價值物品轉移或銷燬,或直接刪除他人賬號中的遊戲角色的漏洞。

6、偽造身份的漏洞

包括但不限於偽造遊戲官方、系統身份在遊戲內傳送系統公告,或以遊戲官方、系統身份在遊戲聊天的系統頻道中傳送虛假訊息的漏洞,並可觸達海量玩家。


高危漏洞

1、影響玩家可用性的漏洞

包括但不限於可遠端(不包括同Wi-Fi、藍芽等近場攻擊)導致大量玩家遊戲客戶端崩潰或完全無法使用的漏洞。

2、可應用於PVE模式或遊戲非核心玩法中的外掛漏洞

外掛型別包括但不限於無敵、秒殺、技能無CD、全屏攻擊、弱化怪物、加速、飛天遁地、瞬移、隱身、全圖顯示、100%暴擊、快速通關等一些遊戲中正常無法實現的變態行為的漏洞。

3、影響遊戲營收的漏洞

包括但不限於盜刷大量普通可轉賣遊戲裝備、角色、資源等,盜刷大量遊戲代幣等。

4、賬號漏洞

可以獲取大量使用者賬號許可權(不包含木馬盜號、釣魚等),但登入後僅能進行常規操作,無法竊取使用者高價值遊戲物品、角色等的漏洞。

5、偽造身份的漏洞

包括但不限於偽造遊戲官方、系統身份影響少量玩家,或能偽造任意玩家身份進行世界聊天、交易、工會管理的漏洞。


中危漏洞

1、以任意手段繞過遊戲客戶端或伺服器限制,形成有異於正常的遊戲行為,但影響較小,或收益甚微的漏洞。

包括但不限於:遮蔽物品採集或技能引導的進度條或突破遊戲限制、購買商品列表之外的物品、增加抽獎抽卡的次數或中獎機率等。

2、遊戲資訊洩漏漏洞

包括但不限於可竊取其他玩家遊戲中的聊天記錄、戰略方案等私密資訊。

3、互動類漏洞

需要使用者互動才能利用的上述高危嚴重中提及的漏洞,包括需要使用者點選、訪問給定URL、進行特定操作等才能利用的漏洞。


低危漏洞

1、本地拒絕服務

包括但不限於本地、同Wi-Fi、藍芽近場等環境下導致玩家遊戲客戶端崩潰或完全無法使用的漏洞。

2、資訊轟炸類

包括但不限於可在遊戲內向任意玩家傳送海量資訊,導致正常通知、公告或關鍵遊戲資訊被淹沒的漏洞等。


無危漏洞

其他不直接造成安全問題的遊戲Bug、樣式混亂等。


測試要求

1. 測試越權等問題時,請嚴格限制在測試賬號範圍內測試,避免影響正常使用者;

2. 可能影響其他真實使用者的Payload請在測試驗證漏洞存在後及時刪除;

3. 若以上要求確實無法避免的,請及時聯絡ASRC運營人員,獲得同意後再測試,涉及到真實賬號、使用者資訊遍歷等問題,請嚴格限制讀取條數。

4. 不能破壞線上服務的穩定執行,禁止測試任何蠕蟲類、拒絕服務類(服務端)漏洞、可能導致拒絕服務的漏洞;客戶端拒絕服務漏洞嚴格控制影響範圍;


注意事項

1、高風險操作(刪除、命令執行、操作檔案等),需要先向ASRC@觀行/賢唐報備,請勿自行進行高風險操作

2、本次眾測請勿使用任何形式的自動化測試工具、指令碼進行測試、暴力破解、Fuzzing等。

3、禁止使用大型自動化掃描工具,避免對使用者的生產系統造成意外破壞,儘量手測;請勿進行可能影響服務穩定的測試,如DoS等。

4、遵守SRC測試規範,對於可深入利用的漏洞需要聯絡運營人員確認後才能繼續,如後臺弱口令登入後的功能檢視、資訊檢視、漏洞深挖等。

5、漏洞確認以介面為準。譬如網站和app都存在任意密碼重置漏洞,但是介面完全一致,算一個漏洞,請知曉。

6、透過弱口令、爆破等方式進入管理後臺後發現的注入、越權等漏洞會做打包或者降級處理。

7、本次只有第一個提交的漏洞會被確認(漏洞描述不清的直接忽略) ,其餘按照重複忽略。

8、SQL隱碼攻擊要求至少到注出資料庫名稱,不達標按駁回處理;

9、如果業務全站都未做過濾,存在十幾個或者幾十個注入等漏洞,ASRC會做一定的特殊處理,僅確認前三個,不提倡刷洞。

10、同一功能模組下多個注入點或者多個XSS、CSRF、越權等算一個漏洞。

11、測試過程中發現問題,請聯絡觀行處理。

12、請按照漏洞標準正確勾選等級,勿隨意勾選嚴重漏洞等級。

13、本次活動只接收符合以上標準的漏洞。。

14、禁止利用漏洞進行損害使用者利益、影響業務運作、盜取使用者資料等行為的,同時阿里巴巴集團保留採取進一步法律行動的權利。


相關文章