Chương trình Bug Bounty

Tham gia Chương trình Bug Bounty của FlowHunt, báo cáo lỗ hổng một cách có trách nhiệm và nhận phần thưởng khi giúp giữ an toàn cho nền tảng.

Security BugBounty Vulnerability Cybersecurity
Gửi lỗ hổng Tìm hiểu thêm

FlowHunt nhằm giữ dịch vụ an toàn cho mọi người, và bảo mật dữ liệu là điều quan trọng hàng đầu. Nếu bạn là nhà nghiên cứu bảo mật và phát hiện lỗ hổng trong Dịch vụ, chúng tôi trân trọng nếu bạn tiết lộ cho chúng tôi một cách riêng tư để chúng tôi có cơ hội khắc phục trước khi công bố chi tiết kỹ thuật.

FlowHunt sẽ phối hợp với các nhà nghiên cứu bảo mật khi có lỗ hổng được báo cáo cho chúng tôi như mô tả ở đây. Chúng tôi sẽ xác thực, phản hồi và khắc phục các lỗ hổng nhằm hỗ trợ cam kết của chúng tôi về bảo mật và quyền riêng tư. Chúng tôi sẽ không thực hiện hành động pháp lý, đình chỉ hoặc chấm dứt quyền truy cập vào Dịch vụ đối với những người phát hiện và báo cáo lỗ hổng một cách có trách nhiệm. FlowHunt bảo lưu mọi quyền pháp lý trong trường hợp không tuân thủ.

Báo cáo

Chia sẻ chi tiết của bất kỳ lỗ hổng nghi ngờ nào với Đội Phát Triển FlowHunt tại support@flowhunt.io . Vui lòng không công khai các chi tiết này bên ngoài quy trình này mà không có sự cho phép rõ ràng. Khi báo cáo lỗ hổng nghi ngờ, vui lòng cung cấp càng nhiều thông tin càng tốt. Nếu bạn muốn gửi nhiều báo cáo cùng lúc, chỉ gửi một báo cáo (quan trọng nhất nếu có thể) và chờ phản hồi.

Đền bù

Chúng tôi rất vui được cung cấp phần thưởng cho thông tin lỗ hổng giúp chúng tôi bảo vệ khách hàng, như một lời cảm ơn tới các nhà nghiên cứu bảo mật tham gia chương trình. Phần thưởng thông thường là 100 USD cho mỗi lỗ hổng được nộp và xác minh bởi đội ngũ phát triển của chúng tôi.

Chúng tôi chỉ thưởng cho người báo cáo đầu tiên về một lỗ hổng. Bất kỳ báo cáo trùng lặp nào sẽ không được thưởng.

Phạm vi

Bạn chỉ có thể thử nghiệm tài khoản FlowHunt mà bạn là Chủ tài khoản hoặc là Đại diện được Chủ tài khoản ủy quyền để thực hiện thử nghiệm. Ví dụ: yourdomain.flowhunt.io

Chúng tôi sẽ thưởng cho bạn cho các loại lỗ hổng sau:

  • Thực thi lệnh từ xa (RCE)
  • SQL Injection
  • Broken Authentication (Xác thực bị vỡ)
  • Broken Session Management (Quản lý phiên bị lỗi)
  • Bypass kiểm soát truy cập
  • Cross-Site Scripting (XSS)
  • Mở chuyển hướng URL
  • Directory Traversal (Dò đường dẫn thư mục)

Các báo cáo mà kẻ tấn công chỉ có thể đe dọa chính tài khoản của họ sẽ không được thưởng. XSS do Admin gây ra sẽ không được thưởng.

Câu hỏi thường gặp

Chương trình Bug Bounty của FlowHunt là gì?

Chương trình Bug Bounty mời các nhà nghiên cứu bảo mật tìm và báo cáo lỗ hổng trong phần mềm của FlowHunt và nhận phần thưởng cho các báo cáo hợp lệ và được xác minh.

Phần thưởng thông thường là bao nhiêu?

Phần thưởng thông thường là 100 USD cho mỗi lỗ hổng duy nhất được nộp và xác minh bởi đội ngũ phát triển.

Làm thế nào để tôi báo cáo một lỗ hổng?

Chia sẻ chi tiết về bất kỳ lỗ hổng nghi ngờ nào với Đội Phát Triển FlowHunt tại support@flowhunt.io, bao gồm càng nhiều thông tin càng tốt.

Tôi có được trả cho các báo cáo trùng lặp không?

Không — chỉ người báo cáo đầu tiên của một lỗ hổng mới được thưởng. Các báo cáo trùng lặp sẽ không được nhận bounty.

Có yêu cầu tiết lộ có trách nhiệm không?

Có — lỗ hổng nên được báo cáo riêng tư và không được công khai trước khi chúng được khắc phục, phù hợp với chính sách tiết lộ có trách nhiệm.

Báo cáo lỗ hổng và nhận phần thưởng

Giúp giữ FlowHunt an toàn bằng cách tham gia Chương trình Bug Bounty của chúng tôi. Báo cáo lỗ hổng và nhận thù lao cho việc tiết lộ có trách nhiệm.

Gửi lỗ hổng Tìm hiểu thêm