獎勵
您的獎勵將取決於發現的漏洞以及對安全的影響。請參閱下面的詳細資訊。
高達$1500
對於影響我們整個平台的安全漏洞
- 遠程執行代碼(RCE)
- 獲得管理員訪問權限
- 具有重大影響的Injection攻擊
- 不受限制地訪問本地文件或資料庫
- 主機端偽造請求(SSRF)
- 關鍵資訊披露
高達$700
對於不需要藉助用戶互動以及會影響許多用戶的漏洞
- 具有重大影響的儲存型跨網站指令碼攻擊(XSS)
- 身份驗證旁路,允許更改用戶資料或訪問私密資料
- 不安全的直接物件參考(IDOR)漏洞
高達$300
對於需要用戶互動或影響個別用戶的漏洞
- 跨站腳本攻擊(XSS),self-XSS除外
- 跨站請求偽造(CSRF)
- URL重新導向
- 用戶聲譽值操縱
請注意,獎勵金額可能不同。實際的獎勵可能會有所不同,具體取決於漏洞的嚴重性、真實性和開發的可能性、以及環境和其他影響安全性的因素。
輔助服務(例如維基、部落格)的漏洞以及非線上產品環境(例如 'beta'、'staging'、'demo' 等)的漏洞,只有在它們整體上影響我們的服務或可能導致敏感的用戶資料洩漏時才會得到獎勵。
您將需要一個PayPal ID,因為我們發放獎勵使用PayPal。
發現以下漏洞不會給您獎勵:
- 您不是第一個報告此漏洞的人;
- 用戶軟體裡的漏洞,或需要完全存取用戶軟體、賬戶、電子郵件、電話等的漏洞;
- 第三方服務裡的漏洞或洩漏;
- 第三方軟體/通訊協定的漏洞或舊版本,缺乏保護以及對最佳做法的偏離(不會造成安全威脅);
- 對安全沒有實質影響或可能利用的漏洞;
- 需要用戶執行異常操作的漏洞;
- 洩漏公開的或非敏感的資訊;
- 同形異義字攻擊;
- 需要rooted、越獄、或修改過的設備和應用程式的漏洞。
規則
- 請耐心等待,我們會在兩週內審核此報告,有時我們需要更多時間來解決此問題。
- 錯誤報告應包括已發現漏洞的詳細說明,以及為重現漏洞而需要採取的步驟或可執行的概念驗證。如果您未描述漏洞詳細訊息,則可能需要很長時間才能審核報告和/或可能導致拒絕您的報告。
- 您不應使用自動化工具和掃描程式來查找漏洞,此類報告將被忽略。
- 你不應該進行任何可能損害我們的服務或資料(包括客戶資料)的攻擊。禁止DDoS、spam、暴力攻擊法 。
- 未經他們的明確同意,您不得涉及其他用戶。
- 請勿執行或嘗試對我們的員工、用戶、或基礎架構進行非技術攻擊,例如社交工程攻擊、網路釣魚、物理攻擊。
賞金獵人
我們衷心感謝以下研究人員所做的貢獻。
