安全赏金计划

不符合要求的问题

我们不接受以下类别的投稿：

• 能够不受任何限制地创建用户账户
• 能够在没有确定安全风险的情况下执行通过用户界面无法获得的行动
• 能够在没有任何限制的情况下发送电子邮件，对内容不加控制
• 任何可能导致我们服务中断的活动（DoS）。
• 需要对用户设备进行MiTM或物理访问的攻击
• Clickjacking
• 内容欺骗和文本注入
• 在不显示漏洞的情况下进行CSV注入
• 泄露非敏感信息，如产品版本、服务器上的文件路径、堆栈跟踪等
• 披露来源和私人IP地址或指向私人IP地址的域的信息
• 敏感令牌（如密码重置令牌）在安全连接（HTTPS）上泄露给受信任的第三方
• 缺少SSL/TLS配置中的最佳实践
• 缺少DNS配置的最佳实践（DKIM/DMARC/SPF/TXT）。
• 错过了HTTP头的最佳实践，但并未表现出漏洞
• 缺少关于重要行动的通知
• 缺少保护机制或最佳实践，也无法证明对用户或系统的实际安全影响
• 以前已知的易受攻击的图书馆，没有一个工作的概念证明
• 只包含崩溃转储或自动工具输出，而没有有效概念验证的报告
• 未经认证的/登录/注销CSRF
• 用户枚举
• 需要未修补环境的向量（例如，Windows未更新过）
• 需要提交报告前6个月或更长时间发布的浏览器版本的病毒
• 缺少对端点的速率限制
• 跨站请求伪造(CSRF)

如何报告漏洞

您可以通过电子邮件向我们报告漏洞，[email protected]。

在您的电子邮件中简明扼要地说明您发现了什么漏洞。特别是在您的电子邮件中包括以下内容：

• 哪些漏洞
• 您所采取的步骤
• 完整URL
• 对象（作为过滤器或输入字段）涉及
• 我们非常欢迎您提供截图和屏幕视频
• 在错误报告中提供您的IP地址，该地址将被保密，用于跟踪您的测试活动，并从我们这边审查日志。
• 尽可能明确和详细地描述发现的问题，并提供您可能拥有的任何证据。您可以假设专业人士会收到该通知

规则

承担责任，并以极其谨慎和小心的态度行事。在调查此事时，只使用发现或证明漏洞所需的方法或技术

• 做一个有道德的黑客，尊重其他用户的隐私
• 不要将您发现的漏洞用于您自己调查以外的目的
• 在向公众或第三方披露之前，不要向其他各方披露漏洞，为我们提供合理的时间来解决这个问题。
• 不要使用社会工程来获得对系统的访问权
• 不要安装任何后门 - 即使是为了证明系统的脆弱性。后门将损害系统的安全
• 不要修改或删除系统中的任何信息。如果您需要为您的调查复制信息，千万不要复制超过您需要的信息。如果一条记录就足够了，就不要再继续了。
• 不要以任何方式改变系统
• 只有在必须的情况下才能渗透到一个系统中。如果您成功渗透到一个系统中，不要把访问权限分享给其他人。
• 请勿通过重复输入密码等粗暴手段来获取系统访问权限。
• 尽可能严密地保护您自己的系统

奖励

我们的奖励是灵活的，没有最低/最高金额限制；奖励是基于严重程度、影响和报告质量。要获得奖励，您必须居住在一个不在制裁名单上的国家（如古巴、伊朗、朝鲜、苏丹和叙利亚）。这是一个自由裁量的计划，Cryptohopper保留取消该计划的权利；是否支付奖励的决定由我们决定。

其他考量因素：

• 当出现重复时，我们只奖励我们收到的第一份报告
• 由一个基本问题引起的多个漏洞将被授予一个赏金
• 我们的工程师必须能够从您的报告中重现安全漏洞。太含糊或不清楚的报告没有资格获得奖励。包括清晰的书面解释和工作代码的报告更有可能获得奖励。