FlowHunt 致力于为所有用户保持服务安全,数据安全至关重要。如果您是安全研究人员并在本服务中发现了安全漏洞,我们感谢您私下向我们披露,以便我们在公开技术细节之前有机会进行修复。
当有漏洞按此处所述向我们报告时,FlowHunt 将与安全研究人员保持沟通。我们将验证、响应并修复漏洞,以支持我们对安全和隐私的承诺。对于那些以负责任方式发现并报告漏洞的人,我们不会采取法律行动,也不会暂停或终止其对服务的访问。若有任何不合规情形,FlowHunt 保留所有法律权利。
报告
请将任何疑似漏洞的详细信息发送至 FlowHunt 开发团队:support@flowhunt.io。未经明确许可,请勿在此流程之外公开披露这些细节。在报告任何疑似漏洞时,请尽可能包含详细信息。如果您想一次提交多份报告,请只提交一份(尽可能为最重要的一份),并等待回复。
补偿
我们很高兴为有助于保护客户的漏洞信息提供赏金,以感谢选择参与我们漏洞赏金计划的安全研究人员。常规赏金为每个由我们开发团队提交并核实的漏洞 100 美元。
我们仅会奖励第一个报告该漏洞的人。任何重复报告将不予奖励。
范围
您只能测试您作为帐户所有者或由帐户所有者授权的代理可以进行测试的 FlowHunt 帐户。例如:yourdomain.flowhunt.io
我们将为以下类型的漏洞提供奖励:
- 远程命令执行 (RCE)
- SQL 注入
- 破坏的身份验证
- 破坏的会话管理
- 访问控制绕过
- 跨站脚本 (XSS)
- 开放式 URL 重定向
- 目录遍历
如果报告显示攻击者仅能威胁其自己的帐户,则不会获得赏金。由管理员(Admin)引起的 XSS 也不在奖励范围内。
常见问题
- 什么是 FlowHunt 漏洞赏金计划?
漏洞赏金计划邀请安全研究人员发现并报告 FlowHunt 软件中的漏洞,对符合条件并经验证的提交给予奖励。
- 常规赏金金额是多少?
常规赏金为每个经开发团队核实的独立漏洞 100 美元。
- 我该如何报告漏洞?
请将任何疑似漏洞的详细信息尽可能多地发送至 FlowHunt 开发团队:support@flowhunt.io。
- 重复报告会获得奖励吗?
不会 —— 只有第一个报告该漏洞的人能获得奖励。重复报告不会获得赏金。
- 是否必须进行负责任披露?
是的 —— 漏洞应私人报告且在修复之前不得公开披露,符合负责任披露政策。