漏洞范围
我们重点关注可构成重大威胁的“严重”或“重要”级别漏洞。一旦发现此类疑似漏洞,请尽快通知我们。
符合条件的漏洞类型
SQL 注入 (SQLi)
存储型跨站脚本攻击 (XSS)
远程代码执行 (RCE)
不安全的直接对象引用 (IDOR)
横向和纵向越权
认证绕过与身份认证失效
存在实际安全影响的业务逻辑漏洞
本地文件访问与操纵 (LFI, RFI, XXE, SSRF)
存在实际安全影响的跨站请求伪造 (CSRF)
我方资产包括密钥、凭证或其他敏感信息泄露
不符合条件的漏洞类型
cookie flags, HTTP Strict Transport Security Header)
点击劫持 (Clickjacking/UI redressing)
无法提供有效验证的已知CVE漏洞
针对员工或供应商的社会工程学攻击
影响过时或已停止支持的浏览器/平台的漏洞
TLS/SSL 证书过期、不符合最佳实践等其他问题
无效或缺失的 SPF、DKIM、DMARC 记录
未认证、登出/登录页面以及其他低风险的跨站请求伪造 (CSRF)
缺少速率限制、暴力破解或验证码相关问题
其他无法被利用或无实际安全影响的漏洞
提交漏洞
提交漏洞报告,即表示您同意我们的提交条款与条件。
请通过电子邮件将您的报告发送至[email protected],并遵循以下格式:
邮件主题: (日期)(报告者姓名)(漏洞简述)
1、漏洞详情 2、漏洞证明 (Proof of vulnerability) 3、可能的安全影响 4、重现步骤 5、修复建议
阅读有关我们的 提交条款和条件的更多信息。
