Chương Trình Săn Lỗi (Bug Bounty)

Tham gia Chương Trình Săn Lỗi của FlowHunt, báo cáo lỗ hổng bảo mật một cách có trách nhiệm và nhận thưởng khi góp phần bảo vệ nền tảng an toàn.

Security BugBounty Vulnerability Cybersecurity
Gửi Báo Cáo Lỗ Hổng Tìm Hiểu Thêm

FlowHunt luôn nỗ lực giữ cho dịch vụ của mình an toàn cho tất cả mọi người, trong đó bảo mật dữ liệu là ưu tiên hàng đầu. Nếu bạn là nhà nghiên cứu bảo mật và phát hiện lỗ hổng trong Dịch vụ, chúng tôi đánh giá cao việc bạn thông báo riêng cho chúng tôi, cho phép chúng tôi khắc phục trước khi công bố chi tiết kỹ thuật.

FlowHunt sẽ phối hợp với các nhà nghiên cứu bảo mật khi nhận được báo cáo lỗ hổng như mô tả tại đây. Chúng tôi sẽ xác minh, phản hồi và khắc phục các lỗ hổng nhằm thực hiện cam kết về bảo mật và quyền riêng tư. Chúng tôi sẽ không thực hiện hành động pháp lý, đình chỉ hoặc chấm dứt quyền truy cập Dịch vụ đối với những ai phát hiện và báo cáo lỗ hổng một cách có trách nhiệm. FlowHunt vẫn giữ tất cả các quyền pháp lý trong trường hợp không tuân thủ.

Điều kiện tham gia

Để đủ điều kiện tham gia chương trình săn lỗi, bạn phải:

  • Từ 18 tuổi trở lên
  • Không phải là nhân viên, nhà thầu hoặc thành viên gia đình trực tiếp của FlowHunt (hiện tại hoặc trước đây)
  • Không chịu lệnh trừng phạt của Mỹ hoặc cư trú tại các quốc gia bị Mỹ cấm vận
  • Tuân thủ mọi luật và quy định hiện hành
  • Thực hiện công bố có trách nhiệm

Báo cáo

Vui lòng gửi chi tiết về bất kỳ lỗ hổng nghi ngờ nào cho Nhóm Bảo Mật FlowHunt qua email support@flowhunt.io . Không công khai những thông tin này ngoài quy trình này nếu không có sự cho phép rõ ràng.

Yêu cầu về chất lượng báo cáo

Báo cáo lỗ hổng của bạn nên bao gồm:

  • Tóm tắt: Mô tả ngắn gọn về lỗ hổng
  • Tác động: Ảnh hưởng bảo mật tiềm tàng và rủi ro kinh doanh
  • Các bước tái hiện: Hướng dẫn chi tiết từng bước
  • Bằng chứng minh họa: Bằng chứng cho thấy lỗ hổng tồn tại
  • Tài sản bị ảnh hưởng: URL, tham số hoặc thành phần cụ thể
  • Đánh giá mức độ nghiêm trọng: Nhận định của bạn về mức độ nghiêm trọng
  • Đề xuất khắc phục: Gợi ý khắc phục (không bắt buộc)

Nếu bạn muốn gửi nhiều báo cáo cùng lúc, chỉ nên gửi một báo cáo (nên chọn báo cáo quan trọng nhất nếu có thể) và chờ phản hồi.

Thời gian phản hồi

  • Xác nhận: Trong vòng 5 ngày làm việc kể từ khi nhận báo cáo
  • Đánh giá ban đầu: Trong vòng 10 ngày làm việc
  • Mục tiêu khắc phục: Trong vòng 90 ngày đối với các lỗ hổng hợp lệ
  • Cập nhật: Thường xuyên cập nhật trạng thái trong quá trình xử lý

Chính sách thưởng

Chúng tôi vui mừng trao thưởng cho các thông tin về lỗ hổng giúp bảo vệ khách hàng của mình, như một lời cảm ơn tới các nhà nghiên cứu bảo mật tham gia chương trình săn lỗi của FlowHunt.

Phân loại mức độ nghiêm trọng

Nghiêm trọng ($100):

  • Thực thi mã từ xa
  • SQL injection dẫn đến truy cập dữ liệu
  • Bypass xác thực ảnh hưởng nhiều người dùng
  • Leo thang quyền hạn lên mức quản trị viên
  • Chiếm đoạt hoàn toàn tài khoản

Trung bình ($50):

  • Cross-site scripting (XSS) gây ảnh hưởng lớn
  • Bypass kiểm soát truy cập với phạm vi dữ liệu hạn chế
  • Directory traversal cho phép truy cập tệp
  • Lỗ hổng quản lý phiên đăng nhập
  • Lỗi xác thực ảnh hưởng đến từng người dùng

Nhẹ (Không đủ điều kiện nhận thưởng):

  • Tiết lộ thông tin nhỏ
  • Self-XSS không có khả năng tấn công thực tế
  • Vấn đề giới hạn tốc độ truy cập
  • Thiếu header bảo mật nhưng không có tác động khai thác được

Điều khoản thanh toán

  • Chỉ thanh toán qua PayPal
  • Thợ săn lỗi cần xuất hóa đơn PayPal gửi cho chúng tôi
  • Không hỗ trợ phương thức thanh toán khác
  • Xử lý thanh toán trong vòng 30 ngày kể từ khi nhận hóa đơn
  • Tất cả khoản thanh toán tuân thủ quy định thuế hiện hành

Chúng tôi chỉ thưởng cho người đầu tiên báo cáo lỗ hổng. Các báo cáo trùng lặp sẽ không được nhận thưởng.

Phạm vi

Trong phạm vi

Bạn chỉ được phép kiểm thử trên tài khoản FlowHunt mà bạn là Chủ tài khoản hoặc là Đại diện được Chủ tài khoản ủy quyền thực hiện kiểm thử, ví dụ: yourdomain.flowhunt.io

Tài sản hợp lệ:

  • Tên miền và tên miền phụ *.flowhunt.io
  • Ứng dụng web và API của FlowHunt
  • Ứng dụng di động FlowHunt (nếu có)

Loại lỗ hổng hợp lệ:

  • Thực thi lệnh từ xa (RCE)
  • SQL Injection
  • Xác thực bị phá vỡ
  • Quản lý phiên bị phá vỡ
  • Bypass kiểm soát truy cập
  • Cross-Site Scripting (XSS)
  • Chuyển hướng URL mở
  • Directory Traversal
  • Server-Side Request Forgery (SSRF)
  • Lỗi logic nghiệp vụ

Ngoài phạm vi

Hoạt động bị cấm:

  • Tấn công kỹ thuật xã hội (phishing, vishing, v.v.)
  • Tấn công vật lý hoặc truy cập vật lý vào cơ sở FlowHunt
  • Tấn công từ chối dịch vụ (DoS) hoặc DDoS
  • Spam, gửi tin hàng loạt, hoặc sử dụng công cụ tự động với hệ thống của chúng tôi
  • Tấn công ở mức mạng hoặc quét hạ tầng
  • Tấn công yêu cầu truy cập vật lý vào thiết bị người dùng
  • Tấn công brute force hoặc dò mật khẩu
  • Kiểm thử trên các tài khoản bạn không sở hữu hoặc không có quyền kiểm thử rõ ràng

Các phát hiện không hợp lệ:

  • Báo cáo khi kẻ tấn công chỉ đe dọa tài khoản của chính họ
  • XSS gây ra bởi quản trị viên hoặc người dùng đặc quyền
  • Lỗ hổng yêu cầu tương tác người dùng không thực tế
  • Vấn đề chỉ xảy ra khi người dùng cài đặt phần mềm độc hại
  • Lỗ hổng lý thuyết không có hướng khai thác rõ ràng
  • Giả mạo nội dung không có tác động bảo mật
  • Thiếu giới hạn tốc độ nhưng không ảnh hưởng rõ rệt
  • Lỗi chỉ ảnh hưởng đến trình duyệt hoặc nền tảng đã lỗi thời

Quy tắc chương trình

Hướng dẫn kiểm thử

  • Chỉ kiểm thử trên tài khoản bạn sở hữu hoặc được phép rõ ràng
  • Không truy cập, sửa đổi hoặc xóa dữ liệu của người dùng khác
  • Không làm gián đoạn dịch vụ hoặc giảm hiệu suất hệ thống
  • Giới hạn kiểm thử tự động để tránh làm gián đoạn dịch vụ
  • Không công bố lỗ hổng trước khi được khắc phục
  • Nỗ lực hành động thiện chí, tránh xâm phạm quyền riêng tư hoặc phá hủy dữ liệu

Cam kết an toàn & bảo vệ pháp lý

FlowHunt cam kết:

  • Không truy cứu pháp lý đối với nhà nghiên cứu tuân thủ chính sách này
  • Phối hợp xác minh và ghi nhận các vấn đề bảo mật
  • Ghi nhận đóng góp hợp lệ cho an ninh của chúng tôi
  • Giữ bí mật và không tiết lộ danh tính nhà nghiên cứu nếu không có sự đồng ý

Nhà nghiên cứu cần:

  • Tuân thủ mọi luật và quy định hiện hành
  • Chỉ truy cập dữ liệu cần thiết để chứng minh lỗ hổng
  • Báo cáo lỗ hổng nhanh chóng, thiện chí
  • Không khai thác lỗ hổng vượt quá mức cần thiết để trình diễn

Thời gian công bố

  • Ngay lập tức: Gửi báo cáo tới support@flowhunt.io
  • 90 ngày: Thời gian công bố tiêu chuẩn sau khi báo cáo ban đầu
  • Phối hợp: Công bố công khai chỉ sau khi hai bên thống nhất
  • Khẩn cấp: Lỗ hổng nghiêm trọng có thể đẩy nhanh thời gian xử lý

Nhà nghiên cứu có thể công bố công khai lỗ hổng sau 90 ngày kể từ báo cáo ban đầu hoặc sau khi FlowHunt xác nhận đã khắc phục, tùy điều kiện nào đến trước. Chúng tôi khuyến khích công bố phối hợp và sẽ làm việc cùng nhà nghiên cứu về thời điểm phù hợp.

Câu hỏi thường gặp

Chương Trình Săn Lỗi của FlowHunt là gì?

Chương Trình Săn Lỗi mời các nhà nghiên cứu bảo mật tìm kiếm và báo cáo lỗ hổng trong phần mềm của FlowHunt và nhận thưởng cho các báo cáo hợp lệ và được xác minh.

Mức thưởng khi phát hiện lỗi là bao nhiêu?

Trước khi giải đáp thắc mắc của bạn, vui lòng lưu ý chính sách săn lỗi của chúng tôi: Lỗi nghiêm trọng hợp lệ: $100, Lỗi trung bình hợp lệ: $50, Mức độ nhẹ: Không đủ điều kiện nhận thưởng.

Làm thế nào để báo cáo một lỗ hổng?

Vui lòng gửi chi tiết về bất kỳ lỗ hổng nào nghi ngờ tới Nhóm Bảo Mật FlowHunt qua email support@flowhunt.io, bao gồm càng nhiều thông tin càng tốt.

Tôi có được nhận thưởng nếu báo cáo bị trùng lặp không?

Không, chỉ người đầu tiên báo cáo một lỗ hổng mới được nhận thưởng. Các báo cáo trùng lặp sẽ không được nhận phần thưởng.

Có bắt buộc phải công bố có trách nhiệm không?

Có, các lỗ hổng cần được báo cáo riêng tư và không công bố công khai trước khi được khắc phục, tuân thủ chính sách công bố có trách nhiệm.

Báo Cáo Lỗ Hổng & Nhận Thưởng

Hãy giúp FlowHunt an toàn hơn bằng cách tham gia Chương Trình Săn Lỗi của chúng tôi. Báo cáo lỗ hổng và nhận phần thưởng cho việc công bố có trách nhiệm.

Gửi Báo Cáo Lỗ Hổng Tìm Hiểu Thêm