参与 Bug Bounty 计划的规则
欢迎参加 Bug Bounty 计划!你的参与有助于提高我们产品和服务的安全性。请阅读以下指南,以确保有效和合乎道德的合作
注册与验证
- 注册:
要参加该计划,你先需要在网站上注册账户 sms-activate.guru
请你在注册过程中提供你的 Telegram 账户,以方便交流;
-
验证:
你必须通过验证程序才能获取付款。一旦你的报告获得批准,我们通过 Telegram 给你发送详细说明。
报告审查过程
我们的安全分析师对你的报告进行详细审查。这一过程可能需要长达三个月的时间。在此期间,报告可能会收到以下状态之一:"待处理中"、"已排序"、"被版主拒绝"、"需要更多信息" 等。
漏洞类型
在
你可以找到不合适获得奖金条件的漏洞类型列表。在
规定了评估漏洞严重性的标准。
验证与匿名
你为验证目的而提供的所有个人数据仅用于识别目的,未经你的同意不会向第三方提供。我们尽一切努力确保你的数据保密和安全。
付款
在成功验证并确认漏洞后,你获得奖励。奖励金额根据漏洞的严重程度和所提供报告的质量而决定的。
道德标准
我们希望参与者以负责任和合乎道德的方式行事。在漏洞修复之前,不允许利用发现的漏洞造成损害、未经授权访问数据或系统,或传播有关漏洞的信息。
总结
我们重视你对提高我们产品和服务安全性的贡献。你的参与有助于为我们所有人创造一个更安全的数字空间
祝你找到漏洞成功!你的贡献非常宝贵,我们非常感谢你在保护我们的系统安全方面所提供的帮助。
附件 A
不付费的漏洞类型(利用后不会造成严重后果的低级漏洞等):
-
IDOR
(只有在高度危急的情况下才会接受关于此类漏洞的报告;危急程度由我们的专家在确认漏洞时确定的);
-
任何 XSS 漏洞的类型,
除 Stored XSS 以外(是否接受存储 XSS 漏洞报告取决于网络资源的重要性);
-
Clickjacking;
-
Insecure Redirect URI;
-
Directory Listing Enabled
(密码、备份) 和 Sensitive data exposure
(视披露的数据而定;如果发现关键数据,则接受有关此漏洞的报告);
-
开启的 debug node,
不披露关键数据的;
-
CSRF 漏洞,
在非关键功能中发现的;
-
披露管理面板
(如果猎手找到了管理面板,但无法捕获账户或获取其他关键信息);
-
User Enumeration
而不泄露关键数据;
-
Security Misconfiguration,
在没有证据表明威胁已经实现的情况下;
-
拒绝提供服务;
-
垃圾邮件;
-
社会工程,
针对工员、承包商或客户;
-
任何试图进入财产或数据中心的实际企图
-
系统所有者;
-
使用自动工具和扫描进行的报告;
-
第三方软件中的错误;
-
缺少安全标题
不直接导致漏洞的;
-
SSL / TLS 信任违规;
-
仅影响过时或非专有浏览器和平台用户的漏洞;
-
密码和账户恢复政策、
例如重置链接的有效期或密码复杂性;
-
过期的 DNS 记录、
指向不属于系统所有者的系统。