betway娱乐官网媒介的Bug赏金披露程序
发表在
3分钟阅读2015年9月29日
- - -
软件安全研究社区使网络更好的,更安全的地方。我们支持他们的努力找出bug赏金计划。
报告一个漏洞,请电子邮件我们bugbounty@betway娱乐官网www.baixiangren.com。
看到那些负责任的披露在这里。
合格的漏洞
以下域和应用程序的范围内:
- * betway娱乐官网.www.baixiangren.com
- * .embed.ly
- * .embedly.com
- betway娱乐官网媒介iOS
- betway娱乐官网介质为Android
- betway娱乐官网自定义的域(不含任何子领域或相关领域不是由介质)。betway娱乐官网
的资格,你必须证明安全妥协任何这些域使用可再生利用,包括以下:
- 跨站点脚本攻击
- 跨站点请求伪造攻击
- 身份验证或授权的缺陷
- 官方媒体移动应用程betway娱乐官网序或API的缺陷
- 服务器端代码执行漏洞
- 注塑缺陷
- 重大安全配置错误
- 推荐和排名系统
这些赏金程序漏洞不符合。
规则为你
- 不要让错误公共之前已经固定。
- 不要企图获得另一个用户的帐户或数据。使用您自己的测试占cross-account测试。
- 不执行任何攻击,可能会损害我们的服务或数据的可靠性和完整性。DDoS /垃圾邮件攻击是不允许的。
- 只在网站或应用程序你知道测试漏洞是由媒介。betway娱乐官网一些网站托管在www.baixiangren.com的子域是由第三方,不应该被测试。betway娱乐官网
- 不影响其他用户与您的测试,包括测试账户你不自己的漏洞。我们可能会暂停你的媒介账户,禁止你的IPbetway娱乐官网地址,如果你这样做。
- 不要用扫描仪或自动化工具找到漏洞。他们吵了,我们可能会暂停你的媒体账户并禁止你的IP地址。betway娱乐官网
- 没有等非技术攻击社会工程,钓鱼,或物理攻击我们的员工,用户,或基础设施。
- 更彻底的概念验证,支付将获得机会越高。
规则对我们
- 我们将尽快回应你的提交。
- 我们将继续更新我们努力修复bug你提交。
- 我们不会采取法律行动反对你如果你遵守规则,诚实守信。
奖励
缺陷的严重程度和完整性的基础上提交,我们将决定在我们的唯一的谨慎,我们提供以下奖励:
- 远程代码执行:1500美元
- 不受限制地访问文件系统或数据库:1000美元
- bug泄漏或绕过重大安全控制:1000美元
- 缺陷允许人工操纵排名和推荐系统:250美元
- 在客户机上执行代码,包括XSS: 100美元
- 开放重定向:100美元
- 其他有效安全漏洞:识别humans.txt。
- 辅助服务的漏洞或第三方依赖关系:schwag和认可。
法律的事情最后&注意事项
我们只处理主体,而不是漏洞经纪人。
如果你居住在一个国家在美国限制出口控制清单,或者是在美国州或联邦刑事通缉或限制出口控制清单,你没有资格参与这个项目。
我们将最终决定错误资格和价值。这个项目存在完全在我们的自由裁量权,可以随时修改或取消。我们做任何更改这些程序条款不具有追溯效力。谢谢你帮助我们使介质更安全。betway娱乐官网