披露安全漏洞

我们鼓励安全研究人员向我们报告或披露安全漏洞,并且我们还提供 向有资格的人提供赏金计划,请继续阅读以了解有关规则,指南和其他内容的更多信息 适用条件。

报告漏洞的规则
  • 避免获得其他用户的访问权限’的帐户,设备或数据。
  • 请勿进行可能影响我们服务或数据可用性和可靠性的攻击。自动运行 不允许DDoS或SPAM攻击。
  • 在修复该错误之前,请勿公开披露该错误。
  • 请勿使用扫描仪或自动化工具查找漏洞,因为它会在我们的日志中造成大量噪音,并且’ll be forced to 禁止您的IP或暂停您的帐户。
  • 诸如非技术攻击(例如社会工程,网络钓鱼,针对我们的员工和用户的攻击)的尝试 are not allowed.
  • 仅允许以下网站进行安全测试:
  • 有任何疑问,请随时联系 [email protected].


我们应遵循的规则
  • We’我会尽快做出回应,但会给我们48小时的回复时间。
  • We’我们会针对您所报告的错误推出修复程序时,请及时通知您。
  • We’如果您遵守规则,将不会对您采取任何法律行动。


排除项目
  • 先前报告的问题,我们’重新意识到或正在修复中,或者已确定不知道 合格超出范围。
  • 垃圾邮件(包括与SPF / DKIM / DMARC有关的问题)不在范围内。
  • 不会影响现代浏览器(Chrome,Firefox,Edge,Safari)最新版本的错误。
  • 与浏览器扩展相关的错误也不在范围内。
  • 非敏感Cookie的Cookie设置不安全。
  • 公开信息和不构成重大风险的信息。
  • 脚本编写或其他自动化和预期功能的暴力破解。
  • CSRF用于不重要的操作(注销等)
  • 定时攻击以证明用户的存在。
  • 需要很少的用户交互的错误。
  • 如果你’是Scalefusion(ProMobi Technologies)的雇员或前雇员。
  • 有任何疑问,请随时联系 [email protected]


如何举报问题?

编写好的漏洞报告对于开发团队了解和分析影响非常有用, 由于更清晰的报告减少了多次通信的需要,因此也有可能很快得到修复。 我们建议您遵循这一出色 HackerOne指南 关于如何写好 漏洞报告。

将您的漏洞报告发送至: [email protected]


常见问题

  • 赏金奖励如何确定?

    我们的开发和安全团队会考虑多种因素来确定适当的奖励。我们分析 成功利用报告的漏洞的复杂性,受影响用户的百分比,潜在的风险和 漏洞分类。严重漏洞可能会由于其他一些因素而影响范围较小 保护到位,或者需要特殊的交互,或者取决于用户系统中的过时配置。
  • 奖励如何支付?

    除非我们另行通知,否则奖励可能会通过PayPal支付。您可能需要填写一些文书工作 供我们的会计部门用于合规目的。
  • 赏金有任何法律条款吗?

    如果您举报的问题有资格获得赏金并且您接受了赏金,那么您必须阅读并同意 our 服务条款 协议。
    • 如果你’从印度对其实施了出口制裁或贸易限制的国家重新参加 then we’无法支付您的赏金。
    • 如果你’重新参加美国或联合国对其实施出口制裁的国家 或贸易限制,那么我们’无法支付您的赏金。
    • 您’对任何适用的税款,预提税或其他方式(包括任何赏金)全权负责。
    • 通过报告您的问题’不会违反您所在国家/地区的任何适用法律或破坏您不拥有的任何物品。

赏金

赏金金额范围为 $ 50-$ 1000,我们保留以后更改限额的权利。赏金数额为 根据以下分类确定:

  • 不安全的直接对象参考
  • 跨站点脚本(XSS)
  • 跨站请求伪造(CSRF)
  • 安全配置错误
  • 会话管理不正确或身份验证失败
  • 缺少或不正确的访问控制
  • 敏感数据暴露
  • SQL注入
  • OWASP前十名

有任何疑问,请随时联系 [email protected].