漏洞範圍
我們重點關注可構成重大威脅的「嚴重」或「重要」等級漏洞。一旦發現此類疑似漏洞,請盡快通知我們。
符合條件的漏洞類型
SQL 注入 (SQLi)
儲存型跨站腳本攻擊 (XSS)
遠端程式碼執行 (RCE)
不安全的直接物件參考 (IDOR)
橫向和縱向越權
認證繞過與身分認證失效
存在實際安全影響的業務邏輯漏洞
本地文件存取與操縱 (LFI, RFI, XXE, SSRF)
存在實際安全影響的跨站請求偽造 (CSRF)
我方資產包括金鑰、憑證或其他敏感資訊洩露
不符合條件的漏洞類型
cookie flags, HTTP Strict Transport Security Header)
點選劫持 (Clickjacking/UI redressing)
無法提供有效驗證的已知CVE漏洞
針對員工或供應商的社會工程攻擊
影響過時或已停止支援的瀏覽器/平台的漏洞
TLS/SSL 憑證過期、不符合最佳實務等其他問題
無效或缺少的 SPF、DKIM、DMARC 記錄
未認證、登出/登入頁面以及其他低風險的跨站請求偽造 (CSRF)
缺少速率限制、暴力破解或驗證碼相關問題
其他無法被利用或無實際安全影響的漏洞
提交漏洞
提交漏洞報告,即表示您同意我們的提交條款與條件。
請透過電子郵件將您的報告發送至[email protected],並遵循以下格式:
郵件主旨: (日期)(報告者姓名)(漏洞簡述)
1、漏洞詳情 2、漏洞證明 (Proof of vulnerability) 3、可能的安全影響 4、重現步驟 5、修復建議
閱讀有關我們的 提交條款和條件的更多資訊。
