漏洞悬赏计划

加入FlowHunt漏洞悬赏计划,负责任地报告安全漏洞,助力平台安全并获得奖励。

Security BugBounty Vulnerability Cybersecurity
提交漏洞 了解更多

FlowHunt 致力于为所有用户提供安全的服务,数据安全对我们极为重要。如果您是一名安全研究人员并在本服务中发现了安全漏洞,我们感谢您私下向我们披露并给予我们修复的机会,请勿在发布技术细节前公开披露。

当有如上所述的漏洞报告时,FlowHunt将与安全研究人员积极沟通。我们会验证、响应并修复这些漏洞,以践行对安全和隐私的承诺。我们不会对负责任地发现并报告安全漏洞的人员采取法律行动、暂停或终止其服务访问权限。若有任何违规行为,FlowHunt保留所有法律权利。

参与资格

要参与我们的漏洞悬赏计划,您必须:

  • 年满18周岁
  • 不是FlowHunt现任或前任员工、承包商或其直系亲属
  • 不受美国制裁或不居住于美国禁运国家
  • 遵守所有相关法律法规
  • 遵循负责任披露实践

报告方式

请将任何可疑漏洞的详细信息发送至support@flowhunt.io与FlowHunt安全团队联系。未经明确许可,请勿在此流程之外公开披露相关信息。

报告质量要求

您的漏洞报告应包含:

  • 概要:对漏洞的简要描述
  • 影响:潜在的安全影响和业务风险
  • 复现步骤:详细的逐步操作说明
  • 概念验证:展示漏洞的证据
  • 受影响资产:具体URL、参数或组件
  • 严重性评估:您对漏洞严重等级的判断
  • 修复建议:推荐的修复措施(可选)

如需一次性提交多份报告,请仅提交一份(如可能请选择最重要的一份),并等待回复。

响应时限

  • 确认收悉:报告提交后5个工作日内
  • 初步评估:10个工作日内
  • 修复目标:有效漏洞90天内修复
  • 进度更新:流程中定期反馈状态

奖励

我们非常感谢安全研究人员参与我们的漏洞悬赏计划并帮助我们保护客户,对有助于提升安全的信息予以奖励。

严重等级分类

严重漏洞($100):

  • 远程代码执行
  • 可导致数据访问的SQL注入
  • 影响多个用户的认证绕过
  • 提权至管理员级别
  • 账户完全被接管

中等漏洞($50):

  • 具有重大影响的跨站脚本(XSS)
  • 影响有限数据的访问控制绕过
  • 目录遍历文件访问
  • 会话管理漏洞
  • 影响单一用户的认证问题

低危漏洞(无奖励):

  • 次要的信息泄露
  • 无实际攻击路径的自XSS
  • 请求速率限制问题
  • 无可利用影响的安全头缺失

支付条款

  • 悬赏仅通过PayPal支付
  • 漏洞猎人需开具并发送PayPal发票
  • 不支持其他支付方式
  • 发票收到后30天内完成付款
  • 所有支付须遵循相关税收法规

我们仅奖励最先报告某个漏洞的研究人员。重复报告将不予奖励。

范围

范围内

您只能针对您作为账户所有者或已获得账户所有者授权的FlowHunt账户进行测试。例如:yourdomain.flowhunt.io

符合条件的资产:

  • *.flowhunt.io域名及其子域名
  • FlowHunt网页应用及API
  • FlowHunt移动应用(如适用)

符合条件的漏洞类型:

  • 远程命令执行(RCE)
  • SQL注入
  • 认证绕过
  • 会话管理漏洞
  • 访问控制绕过
  • 跨站脚本攻击(XSS)
  • 开放式URL重定向
  • 目录遍历
  • 服务器端请求伪造(SSRF)
  • 业务逻辑缺陷

不在范围内

禁止行为:

  • 社会工程攻击(如钓鱼、语音钓鱼等)
  • 对FlowHunt场所的物理攻击或访问
  • 拒绝服务(DoS)或分布式拒绝服务(DDoS)攻击
  • 对系统进行垃圾邮件、大量通信或自动化工具攻击
  • 网络层攻击或基础设施扫描
  • 需要物理接触用户设备的攻击
  • 暴力破解或密码破解
  • 未经授权测试非自有账户

不符合奖励条件的发现:

  • 仅可威胁自己账户的情况
  • 由管理员或特权用户引发的XSS
  • 需用户进行非常规操作的漏洞
  • 需用户安装恶意软件的问题
  • 无明确可利用路径的理论性漏洞
  • 无安全影响的内容伪造
  • 未造成实际影响的速率限制缺失
  • 仅影响过时浏览器或平台的问题

计划规则

测试准则

  • 仅在您拥有或获得明确许可的账户上测试
  • 不得访问、修改或删除其他用户数据
  • 不得干扰我们的服务或降低服务性能
  • 限制自动化测试,避免服务中断
  • 在漏洞修复前不得公开披露
  • 尽最大努力避免隐私侵犯和数据破坏

安全港与法律保护

FlowHunt承诺:

  • 对遵守本政策的研究人员不采取法律行动
  • 与研究人员合作理解并验证安全问题
  • 认可对安全作出有效贡献的人员
  • 保持保密,未经许可不泄露研究人员身份

研究人员须:

  • 遵守所有适用法律法规
  • 仅访问为演示漏洞必要的数据
  • 及时且善意地报告漏洞
  • 不得超出演示所需范围利用漏洞

披露时限

  • 即时:向support@flowhunt.io提交报告
  • 90天:初次报告后标准披露周期
  • 协调:仅在双方同意后公开披露
  • 紧急:关键漏洞可加速处理

研究人员可在初次报告90天后,或FlowHunt确认漏洞已修复后(以先到为准)公开披露漏洞。我们鼓励协同披露并会与研究人员协商适当的公开时机。

常见问题

什么是FlowHunt漏洞悬赏计划?

漏洞悬赏计划邀请安全研究人员发现并报告FlowHunt软件中的安全漏洞,对符合条件并经验证的提交给予奖励。

悬赏奖励是多少?

在处理您的疑问前,请注意我们的漏洞悬赏政策:严重有效漏洞:$100,中等有效漏洞:$50,低危漏洞:无奖励。

如何报告漏洞?

请将任何可疑漏洞的详细信息发送至support@flowhunt.io,与FlowHunt安全团队联系,并尽可能提供详细资料。

重复报告会获得奖励吗?

不会,只有最先报告某个漏洞的人会获得奖励。重复报告不予悬赏。

是否必须负责任披露?

是的,漏洞应私下报告,在修复前不得公开披露,需遵守负责任披露政策。

报告漏洞并获得奖励

参与我们的漏洞悬赏计划,帮助FlowHunt保持安全。报告漏洞,凭负责任披露获得补偿。

提交漏洞 了解更多