SpectroCoin
登入注册
  • Bankera IBBankera IB
  • Bankera ExchangeBankera Exchange
  • SpectroCoin ExplorerSpectroCoin Explorer
ZH-CN
  • English (US)
  • العربية (AR)
  • Français (FR)
  • 日本語 (JA)
  • Lietuvių (LT)
  • Nederlands (NL)
  • Português (BR)
  • Português (PT)
  • Русский (RU)
  • 简体中文 (CN)
  • 繁體中文 (TW)

漏洞奖励计划

SpectroCoin致力于确保用户拥有安全的环境。尽管我们的IT专家正竭尽全力的在平台上寻找所有可能的漏洞,但总有没发现一些漏洞的可能性。因此,我们决定提出一个漏洞奖励计划。任何一位SpectroCoin用户只要回报在程序中所发现的错误,便可参与该计划并获得奖励。

奖励

SpectroCoin尚未为安全漏洞报告设定最高奖励 — 根据漏洞报告的严重性,可被分配更高的奖励。我们使用下表作为指南,但我们将决定并确认最终的奖励金额。符合条件的安全漏洞奖励将以比特币或以太币支付。

奖励额度可能会增加,具体取决于:

  • 描述的品质。 调理清晰,编写良好的漏洞奖励报告,可能会获得更高的奖励。
  • 概念证明的品质。 如果包含测试代码,脚本和详细说明,则可能会获得更高的奖励。
  • 修复的品质(如果有包含的话)。 如果提供了有关解决此问题的建议,则可能会获得更高的奖励。
蓝色错误的向量图漏洞
奖励
重大$4,000 - $15,000
高风险$1,000 - $4,000
中等$200 - $1,000
低风险最高至 $200
唯有从未找到或是从未回报过的漏洞才有机会获得奖励。
一个漏洞我们只会给予一个奖励。如果多项报告都针对于同一个漏洞,该奖励将只颁发给第一位报告者(请查看本文"如何回报漏洞"篇)。
要获得奖励,必须没有法律障碍(例如,如果您是位于受国际制裁国家内的居民或个人,则不得参与此计划,包含但不限于EC、FATF、US和UN。)
在任何情况下,SpectroCoin都有权决定报告的漏洞是无关紧要的,包括其获得奖励的资格。一但提交一个漏洞,即表示您已同意遵守上述规则。

如何报告漏洞

  1. 漏洞报告应包含详细示范的概念验证(POC),使我们可以重现和评估问题。例如,与网路相关的报告应至少包含:
    • HTTP请求/响应以及受影响的参数
    • 屏幕截图或视频(如有必要)
    • 描述浏览器(类型),操作系统,设备和/或应用程序版本
    • 描述漏洞造成的感知影响
    • 有关解决问题的建议(自选)
  2. 请勿公开共享与该漏洞有关的任何文件和/或详细信息。这包括上传到任何可公开访问的网站(例如YouTube,Imgur,Pastebin等)。
  3. 请使用我们的公共PGP密钥(提供在下方)来加密您的讯息和所有的附件。
  4. 请附上您的比特币/以太币地址以便接收奖励。
  5. 请将您的漏洞报告发送至 [email protected]

如果我们的IT团队无法重制并验证问题,则不会分配奖励。

复制公钥:
回报漏洞

合格(范围)

参与漏洞奖励计画的合格标准为SpectroCoin提供的所有服务,包含SpectroCoin的iOS和安卓的应用程式,SpectroCoin钱包,API,商家工具,卡片和交易等。一般而言,可能使财务损失或泄露数据的漏洞被认为具有足够的严重性,其中包含但不限于:

  • 跨站请求伪造(Cross-Site Request Forgery)
  • -跨网站指令码(Cross-Site Scripting)
  • 程式码插入(Code Injection)
  • 远端程式码执行(Remote Code Execution)
  • 特权提升(Privilege Escalation)
  • 略过验证或权限检查(Authentication Bypass)
  • 点击劫持(Clickjacking)
  • 泄漏敏感数据(Leakage of Sensitive Data)

不合格(超出范围)

通常,以下漏洞不符合严重性门槛:

  • 缺乏域名系统安全扩展(DNSSEC)
  • Host头注入但没有明确且可被证明的影响
  • 基于Flash的漏洞利用
  • 若表单无需身份验证或无敏感操作而发生的跨站请求伪造(CSRF)
  • 在非敏感页面上的点击劫持(Clickjacking)
  • 使用中间人攻击(MITM),或物理访问用户的Web浏览器、电子邮件帐户、智能手机,以及问题出现在使用了Root/越狱(Jailbreaking)的设备等的漏洞

披露责任

资料公开的资格与责任包含但不限于:

  1. 在将漏洞发布到其他地方之前,提供我们合理的时间来解决问题。
  2. 不得侵犯其他用户的隐私,破坏任何数据或破坏我们的服务等(按照诚信原则行事)。
  3. 不得欺骗SpectroCoin用户(您无权与不属于您个人的帐户互动,包括修改或访问帐户中的数据)或在查明过程中的SpectroCoin本身。
  4. 若在实行漏洞利用时需要访问帐户,,您必须使用自己的帐户。
  5. 如果您无意中访问了私人数据,我们会要求您在通知我们后删除所有相关信息 – 其中包含但不限于访问代码,私人数据等。
  6. 如果因为所发现的漏洞,而让您能够从SpectroCoin访问和/或转移资金,您承诺将全部金额归还给SpectroCoin。
* 为了鼓励负责任的披露,只要参加者尽力遵守以上指导原则,我们不会对指出漏洞的研究人员提出法律诉讼。

帮助我们维护SpectroCoin的安全

回报漏洞
;