你的位置: 首頁 / 報告安全問題

報告安全問題

報告安全問題
如果您在Ciencia上發現了安全漏洞,我們建議您立即向我們發送消息。我們將審核所有合法的漏洞報告,並儘最大努力快速解決問題。在您報告之前,請查看此文檔,包括基本原則,賞金計劃,獎勵指南以及不應報告的內容。

基本原則
如果您在向Ciencia報告安全問題時遵守以下原則,我們將不會針對您的報告對您提起訴訟或執法調查。我們要求:1。
在公佈有關報告的任何信息或與他人共享此類信息之前,您給我們合理的時間來審核和修復您報告的問題。
2.如果帳戶所有者未同意此類操作,您不會與個人帳戶(包括修改或訪問帳戶中的數據)進行互動。
3.您善意努力避免隱私侵犯和他人中斷,包括(但不限於)數據銷毀和服務中斷或降級。
4.您不會因任何原因利用您發現的安全問題。(這包括證明其他風險,例如企圖洩露敏感公司數據或探查其他問題。)5。您
不違反任何其他適用法律或法規。

賞金計劃
我們認可並獎勵安全研究人員,他們通過報告我們服務中的漏洞來幫助我們保護人員安全。此類報告的貨幣獎勵完全由Ciencia根據風險,影響和其他因素自行決定。為了有資格獲得賞金,您首先需要滿足以下要求:1。
遵守我們的基本原則(見上文)。
2.報告安全漏洞:即識別我們的服務或基礎架構中的漏洞,從而產生安全或隱私風險。(請注意,Ciencia最終確定問題的風險,並且許多錯誤不是安全問題。)
3 。通過我們的“ ciencia62@gmail.com ” 提交您的報告“如有任何更新,請發送電子郵件並回复報告。請不要直接或通過其他渠道聯繫員工報告。如果您對訂單有任何疑問或問題,請聯繫我們的支持中心尋求幫助” ciencia62@gmail.com “ 如果你獨自在不經意間引起侵犯隱私權或中斷(如訪問帳戶數據,服務配置,或其他機密信息),而調查的問題,一定要在你的報告中透露這一點。5.我們調查和回應所有有效的報告。由於報告我們收到的量,雖然,我們優先考慮評估基於風險和其他因素的影響,並收到回复之前,可能需要一些時間。6,我們預留發布報告的權利。

獎勵
我們的獎勵基於漏洞的影響。我們將根據反饋逐步更新該計劃,因此請向我們提供您認為我們可以改進的計劃的任何部分的反饋。
1.請提供詳細的報告,並提供可重複的步驟。如果報告的詳細程度不足以重現問題,則該問題將無法獲得賞金。
2.當出現重複時,我們會授予我們可以完全複製的第一份報告。
3.由一個潛在問題引起的多個漏洞將獲得一筆賞金。
4.我們根據各種因素確定賞金獎勵,包括(但不限於)影響,易用性和報告質量。我們特別注意賞金獎勵,這些獎勵列在下面。
5.以下是  最大值 我們將按每個級別付費。我們的目標是公平,所有獎勵金額由我們自行決定。
嚴重漏洞($ 1000): 導致平台上的權限從非特權升級到管理員的漏洞,允許遠程執行代碼,進行財務盜竊等。示例:
·遠程執行代碼
·遠程Shell /命令執行
·垂直身份驗證繞過
·SQL注入洩露目標數據
·獲取對帳戶的完全訪問權限
高嚴重性漏洞($ 500): 影響平台安全性的漏洞,包括其支持的流程。示例:
·橫向身份驗證繞過
·在公司內部披露重要信息
·為其他用戶存儲XSS
·本地文件包含
·身份驗證cookie的不安全處理
中等嚴重性漏洞($ 300): 影響多個用戶的漏洞,需要很少或不需要用戶交互來觸發。示例:
·常見的邏輯設計缺陷和業務流程缺陷
·不安全的直接對象引用
低嚴重性漏洞($ 50): 影響單一用戶並需要觸發交互或重要先決條件(MITM)的問題。示例:
·打開重定向
·反射XSS 
·低靈敏度信息洩漏