漏洞獎勵計劃
SpectroCoin致力於確保用戶擁有安全的環境。儘管我們的IT專家正竭盡全力的在平台上尋找所有可能的漏洞,但總有沒發現一些漏洞的可能性。 因此,我們決定提出一個漏洞獎勵計劃。任何一位SpectroCoin用戶只要回報在程序中所發現的錯誤,便可參與該計劃並獲得獎勵。
獎勵
SpectroCoin尚未為安全漏洞報告設定最高獎勵 — 根據漏洞報告的嚴重性,可被分配更高的獎勵。我們使用下表作為指南,但我們將決定並確認最終的獎勵金額。符合條件的安全漏洞獎勵將以比特幣或以太幣支付。
獎勵額度可能會增加,具體取決於:
- 描述的品質。調理清晰,編寫良好的漏洞獎勵報告,可能會獲得更高的獎勵。
- 概念證明的品質。如果包含測試代碼,腳本和詳細說明,則可能會獲得更高的獎勵。
- 修復的品質(如果有包含的話)。如果提供了有關解決此問題的建議,則可能會獲得更高的獎勵。
獎勵 | |
---|---|
重大 | $4,000 - $15,000 |
高風險 | $1,000 - $4,000 |
中等 | $200 - $1,000 |
低風險 | 最高至 $200 |
唯有從未找到或是從未回報過的漏洞才有機會獲得獎勵。
一個漏洞我們只會給予一個獎勵。如果多項報告都針對於同一個漏洞,該獎勵將只頒發給第一位報告者(請查看本文"如何回報漏洞"篇)。
要獲得獎勵,必須沒有法律障礙(例如,如果您是位於受國際制裁國家內的居民或個人,則不得參與此計劃,包含但不限於EC、FATF、US和UN。)
在任何情況下,SpectroCoin都有權決定報告的漏洞是無關緊要的,包括其獲得獎勵的資格。一但提交一個漏洞,即表示您已同意遵守上述規則。
一個漏洞我們只會給予一個獎勵。如果多項報告都針對於同一個漏洞,該獎勵將只頒發給第一位報告者(請查看本文"如何回報漏洞"篇)。
要獲得獎勵,必須沒有法律障礙(例如,如果您是位於受國際制裁國家內的居民或個人,則不得參與此計劃,包含但不限於EC、FATF、US和UN。)
在任何情況下,SpectroCoin都有權決定報告的漏洞是無關緊要的,包括其獲得獎勵的資格。一但提交一個漏洞,即表示您已同意遵守上述規則。
如何報告漏洞
-
漏洞報告應包含詳細示範的概念驗證(POC),使我們可以重現和評估問題。例如,與網路相關的報告應至少包含:
- HTTP請求/響應以及受影響的參數
- 屏幕截圖或視頻(如有必要)
- 描述瀏覽器(類型),操作系統,設備和/或應用程序版本
- 描述漏洞造成的感知影響
- 有關解決問題的建議(自選)
- 請勿公開共享與該漏洞有關的任何文件和/或詳細信息。這包括上傳到任何可公開訪問的網站(例如YouTube,Imgur,Pastebin等)。
- 請使用我們的公共PGP密鑰(提供在下方)來加密您的訊息和所有的附件。
- 請附上您的比特幣/以太幣地址以便接收獎勵。
- 請將您的漏洞報告發送至 [email protected]。
如果我們的IT團隊無法重製並驗證問題,則不會分配獎勵。
複製公鑰:
回報漏洞合格(範圍)
參與漏洞獎勵計畫的合格標準為SpectroCoin提供的所有服務,包含SpectroCoin的iOS和安卓的應用程式,SpectroCoin錢包,API,商家工具,卡和交易等。 一般而言,可能使財務損失或洩露數據的漏洞被認為具有足夠的嚴重性,其中包含但不限於:
- 跨站請求偽造(Cross-Site Request Forgery)
- 跨網站指令碼(Cross-Site Scripting)
- 程式碼插入(Code Injection)
- 遠端程式碼執行(Remote Code Execution)
- 特權提升(Privilege Escalation)
- 略過驗證或權限檢查(Authentication Bypass)
- 點擊劫持(Clickjacking)
- 洩漏敏感數據(Leakage of Sensitive Data)
不合格(超出範圍)
通常,以下漏洞不符合嚴重性門檻:
- 缺乏域名系統安全擴充(DNSSEC)
- Host頭注入但沒有明確且可被證明的影響
- 基於Flash的漏洞利用
- 若表單無需身份驗證或無敏感操作而發生的跨站請求偽造(CSRF)
- 在非敏感頁面上的點擊劫持(Clickjacking)
- 使用中間人攻擊(MITM),或物理訪問用戶的Web瀏覽器、電子郵件帳戶、智能手機,以及問題出現在使用了Root/越獄(Jailbreaking)的設備等的漏洞
披露責任
資料公開的資格與責任包含但不限於:
- 在將漏洞發佈到其他地方之前,提供我們合理的時間來解決問題。
- 不得侵犯其他用戶的隱私,破壞任何數據或破壞我們的服務等(按照誠信原則行事)。
- 不得欺騙SpectroCoin用戶(您無權與不屬於您個人的帳戶互動,包括修改或訪問帳戶中的數據)或在查明過程中的SpectroCoin本身。
- 若在實行漏洞利用時需要訪問帳戶,,您必須使用自己的帳戶。
- 如果您無意中訪問了私人數據,我們會要求您在通知我們後刪除所有相關信息 – 其中包含但不限於訪問代碼,私人數據等。
- 如果因為所發現的漏洞,而讓您能夠從SpectroCoin訪問和/或轉移資金,您承諾將全部金額歸還給SpectroCoin。
* 為了鼓勵負責任的披露,只要參加者盡力遵守以上指導原則,我們不會對指出漏洞的研究人員提出法律訴訟。