安全漏洞赏金计划
用户数据安全是 Challengermode 关注的重中之重。因此,我们希望通过赏金计划吸引江湖的火眼金睛,考验我们的安全实力。如果您发现了 Challengermode 安全漏洞,欢迎立刻联系我们。
负责任研究和披露规则指南
- 请勿干扰服务运行,不要使用可能对他人服务体验造成负面影响的扫描技术。
- 请仅测试自己的数据,只访问或披露属于您的客户数据。
- 遵守我们服务条款中的规则指南。
- 如果您取得了我们内部系统的访问权,请立刻停止测试并向我们报告。
- 仅收集展示安全漏洞所必需的信息。安全地删除可能下载、缓存或以其他方式存储在研究所用系统中的 Challengermode 信息。
- 在 Challengermode 修复漏洞之前,请勿发布有关该漏洞的任何信息。
只有 Challengermode 接受并认定提交有效,您才有资格获得赏金。请参阅下文,了解我们的有效提交认定标准以及奖励金额。
漏洞可复现性
我们的工程师必须能重现您报告的安全漏洞。如果您的报告过于含糊或言不达意,就无法获得奖励资格。要提高获奖可能性,请给出条理清晰的解释,并附上可运行的代码。
漏洞严重性
漏洞越严重,赏金就越丰厚。
具有获奖资格的漏洞示例
- 跨站脚本攻击 (Cross-site scripting, XSS)
- 跨站请求伪造 (Cross-site request forgery, CSRF/XSRF)
- 服务器端代码执行
- 认证和授权漏洞
- 混合内容脚本
没有获奖资格的漏洞示例
- 拒绝服务攻击 (Denial of Service,DOS) 和垃圾邮件漏洞
- 集成 Challengermode 第三方网站的安全问题
- 社会工程攻击
- 未能采用 "最佳做法" (例如使用公共 HTTP 标头、失效链接、电子邮件验证或密码政策等)
- 分布式最终一致性流程延迟
奖励
我们的奖励系统非常灵活,没有严格的上下限,具体奖励金额完全视漏洞的严重程度而定。漏洞修复完毕后,我们会通过 PayPal 或 Challengermode 账户发送奖励。这些服务收取的交易处理费将从赏金金额中扣除。本计划属于自由裁量项目,Challengermode 保留取消计划的权利;奖励发放与否完全由 Challengermode 自行决定。
问题报告
如果您对赏金计划有疑问,或想提交漏洞报告,请发送邮件至 security@challengermode.com 联系我们。