漏洞赏金计划
如果您发现我们平台存在漏洞,请告诉我们。
关于该计划
帮助我们改进平台,即可获得奖励。报告内容可以包括我们服务、基础设施和应用程序中的安全漏洞。
奖励等级
您的奖励取决于所报告的漏洞类型及其对整体安全的影响。
- 远程代码执行 (RCE) 或管理员访问
- 高影响注入漏洞
- 无限制访问本地文件或数据库
- 绕过身份验证允许修改用户数据或访问私有数据
- 子域名劫持
- 逻辑缺陷导致经济损失,例如,免费获得订阅服务
- 跨站脚本攻击(XSS),不包括自XSS
- 跨站请求伪造(CSRF)
- 用户荣誉值操纵
- 低影响注入漏洞
- 绕过用户限制
奖励金额可能有所不同。实际奖励金额会根据漏洞的严重程度、真实性、可利用性以及影响安全性的环境和其他因素而有所变化。
博客等辅助服务的漏洞和“beta”、“staging”、“demo”等非生产环境的漏洞,只有在影响我们整体服务,或可能导致敏感用户数据泄露时才会奖励。
规则
- 漏洞报告应包括已发现漏洞的详细说明,以及重现漏洞需要执行的步骤或有效的漏洞验证。如果您未描述漏洞详细信息,则可能需要很长时间才能审核报告和/或可能导致拒绝您的报告。
- 每份报告请仅提交一个漏洞,除非您需要漏洞链来提供影响。
- 只有第一个报告未知漏洞的人将获得奖励。当出现重复时,我们只会奖赏可以完全重现漏洞的第一份报告。
- 您不应使用自动化工具和扫描程序来查找漏洞,因为此类报告将被忽略。
- 您不得进行任何可能损害我们服务或数据,包括客户数据的攻击。如果发现发生DDoS攻击、垃圾邮件攻击或暴力破解攻击,我们将不予发放奖励。
- 未经他们的明确同意,您不应让其他用户参与其中。在测试期间创建私密观点、脚本和其它内容。
- 您不应执行或尝试执行非技术攻击,例如社交工程(例如phishing, vishing, smishing),或对我们的员工、用户或一般基础架构的物理攻击。
- 请提供具有可重复步骤的详细报告。如果报告不够详细,无法重现问题,则该问题将没有资格获得奖励。
- 由一个潜在问题引起的多个漏洞将获得一份赏金。
- 请真诚地努力避免侵犯隐私、破坏数据以及中断或降低我们的服务。
超出范围漏洞
以下问题超出讨论范围。
- 用户软件中的漏洞,或需要完全访问用户软件、帐户、电子邮件、电话等信息的漏洞
- 第三方服务中的漏洞或泄露
- 第三方软件/协议的漏洞或旧版本、防护措施的缺失以及偏离最佳实践等,虽然不会造成安全威胁,但也可能导致安全隐患。
- 不存在实质性安全影响或利用可能性的漏洞
- 需要用户执行非常规操作的漏洞
- 披露公开或非敏感信息
- 同形异义词攻击
- 需要已root、越狱或修改的设备和应用程序才能利用的漏洞
- 任何可能导致我们服务中断的活动
有几个没有得到奖励的此类漏洞的例子。
- EXIF地理位置数据未被剥离
- 点击劫持,攻击不涉及敏感操作的页面
- 跨站请求伪造 (CSRF) 攻击,针对未经身份验证的表单或不包含敏感操作的表单,以及注销CSRF攻击
- 弱加密算法或缺乏有效概念验证的TLS配置
- 内容欺骗或注入问题,但未显示攻击途径
- 非身份验证端点上的速率限制或暴力破解问题
- Cookie缺少HttpOnly或Secure标志
- 软件版本披露。横幅识别问题。描述性错误消息或标头(例如,堆栈跟踪、应用程序或服务器错误)
- 公开的零日漏洞,如果官方补丁发布不到一个月,将根据具体情况逐案评定奖励。
- Tabnabbing
- 用户存在。用户、电子邮箱或电话号码列举。
- 缺乏密码复杂度限制