美丽联合集团安全应急响应中心(MLSRC)正式上线

2016年12月21日，美丽联合集团安全应急响应中心(MLSRC)正式上线（以下简称美联SRC）

美联SRC的建立，旨在联合安全领域的个人以及团队共同发现潜在的安全威胁，全方位地保障平台消费者的权益。

作为知名的女性时尚媒体和时尚消费平台，美丽联合集团（蘑菇街，美丽说，淘世界）一直致力于提升自身产品及业务的安全性，美联SRC的成立，也是希望能够进一步的加强和完善美联集团各业务的安全性，为平台用户负责。

美联集团安全负责人表示，我们是一个的年轻团队，希望以一种更开放的姿态正视我们存在的问题，同时也会将我们的安全成果逐步输出，为营造更安全的互联网生态环境尽一份力。安识科技与安全脉搏作为MLSRC合作伙伴，全力支持伙伴的前行。

访问地址：http://security.mogujie.com/，小伙伴们快速挖起来吧。

漏洞反馈

• 注册并登录 http://security.mogujie.com 在线提交漏洞
• 完善资料，请确保资料的正确性，以便我们更好地对白帽子进行奖励
• 在线提交漏洞后，漏洞状态显示【已提交】
• 工作人员开始审核漏洞后，漏洞状态显示【审核中】
• 工作人员确认反馈问题系安全漏洞或情报，漏洞状态显示【已确认】，反之则显示【已忽略】
• 我们将根据反馈的漏洞进行综合评估，最终会给予相应的现金及贡献值奖励

评分通用原则：

1.评分标准仅适用于美丽联合集团的产品和业务,与美丽联合集团完全无关的漏洞不计分。

2.漏洞奖励仅限于在美丽联合集团安全响应中心上提交的漏洞，在其它平台上提交过的不计分。

3.提交网上已经公开的漏洞不计分。

4.同一漏洞，首位报告者计贡献值，其他报告者均不计。

5.在漏洞未修复之前，被公开的漏洞不计分。

6.同一漏洞源的多个漏洞仅记为1个。例如多个站点使用相同的接口引起的漏洞、同一个站点多个目录存在目录浏览或svn/git信息泄露、同一个站点开启debug等原因引起的多处信息泄露。

7、同一份报告中提交多个漏洞，只按危害级别最高的漏洞计分。因此建议多个漏洞分开提交。

8.有HttpOnly保护的cookie，对于XSS漏洞的评分将酌情降低。

9.各漏洞的最终得分由危害大小、利用难易程度及影响范围综合考虑决定。

10.以测试漏洞为借口，利用漏洞进行损害用户利益、影响业务运作、盗取用户数据等行为的，将不会计分值，同时美丽联合集团保留采取进一步法律行动的权利。

资产范围

• 本平台接受美丽联合集团旗下蘑菇街、美丽说、UNI、小店，包括但不限于WEB/PC/APP的安全问题

其他

• 我们欢迎任何个人及团队为美联集团反馈安全问题，但对于恶意提交者一律严肃处理；
• 漏洞奖励计划的解释权归MLSRC所有；
• 我们的平台刚刚成立，还存在许多需要改进的地方，有任何疑问可以随时联系我们：security@meili-inc.com；

美丽联合集团安全应急响应中心

Meili-inc Security Response Center

本文作者：美丽联合安全MLSRC

本文为安全脉搏专栏作者发布，转载请注明：https://www.secpulse.com/archives/54244.html