JavaScript無法使用或是不支援您的瀏覽器!
交易服務
卡片
比特幣錢包
商家
聯絡我們
登入
English
Lietuvių
Русский
Nederlands
繁體中文
简体中文
日本語
Português (Brasil)
Português
العربية
Français
漏洞獎金
計劃
SpectroCoin了解安全的重要性,因此確保用戶資產的安全對我們而言十分重要。雖然我們的IT團隊採取了所有預防措施來找尋我們系統中可能存在的漏洞,但仍有疏忽的可能性。SpectroCoin相信,與我們的社區攜手合作能夠為雙方帶來最好的結果。 SpectroCoin正在運行一個漏洞獎勵計畫,一旦您向我們回報一個重要又合格的漏洞,您即有獲得獎勵的資格。
回報漏洞
披露責任
資料公開的資格與責任包含但不限於:
1. 在將漏洞發佈到其他地方之前,提供我們合理的時間來解決問題。
2. 不得侵犯其他用戶的隱私,破壞任何數據或破壞我們的服務等(按照誠信原則行事)。
3. 不得欺騙SpectroCoin用戶(您無權與不屬於您個人的帳戶互動,包括修改或訪問帳戶中的數據)或在查明過程中的SpectroCoin本身。
4. 若在實行漏洞利用時需要訪問帳戶,,您必須使用自己的帳戶。
5. 如果您無意中訪問了私人數據,我們會要求您在通知我們後刪除所有相關信息 – 其中包含但不限於訪問代碼,私人數據等。
6. 如果因為所發現的漏洞,而讓您能夠從SpectroCoin訪問和/或轉移資金,您承諾將全部金額歸還給SpectroCoin。
* 為了鼓勵負責任的披露,只要參加者盡力遵守以上指導原則,我們不會對指出漏洞的研究人員提出法律訴訟。
獎勵
SpectroCoin尚未為安全漏洞報告設定最高獎勵。符合條件的安全漏洞獎勵將以比特幣或以太幣支付。根據漏洞報告的嚴重性,可被分配更高的獎勵。我們使用下表作為指南,但我們將決定並確認最終的獎勵金額。
漏洞
獎勵
重大漏洞
$4,000 - $15,000
高風險漏洞
$1,000 - $4,000
中等漏洞
$200 - $1,000
低風險漏洞
最高至
$200
唯有從未找到或是從未回報過的漏洞才有機會獲得獎勵。
一個漏洞我們只會給予一個獎勵。如果多項報告都針對於同一個漏洞,該獎勵將只頒發給第一位報告者(請查看本文"如何回報漏洞"篇)。
要獲得獎勵,必須沒有法律障礙(例如,如果您是位於受國際制裁國家內的居民或個人,則不得參與此計劃,包含但不限於EC、FATF、US和UN。)
* 在任何情況下,SpectroCoin都有權決定報告的漏洞是無關緊要的,包括其獲得獎勵的資格。一但提交一個漏洞,即表示您已同意遵守上述規則。感謝您保護SpectroCoin以及我們的用戶安全!
獎勵金額可能會增加,具體取決於:
描述的品質。 調理清晰,編寫良好的漏洞獎金報告,可能會獲得更高的獎勵。
概念證明的品質。 如果包含測試代碼,腳本和詳細說明,則可能會獲得更高的獎勵。
修復的品質(如果有包含的話)。如果提供了有關解決此問題的建議,則可能會獲得更高的獎勵。
如何報告漏洞
請將您的漏洞報告發送至
[email protected]
。 並請使用我們的公共PGP密鑰(提供在下方)來加密您的訊息和所有的附件。請勿公開共享與該漏洞有關的任何文件和/或詳細信息。 這包括上傳到任何可公開訪問的網站(例如YouTube,Imgur,Pastebin等)。
漏洞報告應包含詳細示範的概念驗證(POC),使我們可以重現和評估問題。例如,與網路相關的報告應至少包含:
HTTP請求/響應以及受影響的參數
屏幕截圖或視頻(如有必要)
描述瀏覽器(類型),操作系統,設備和/或應用程序版本
描述漏洞造成的感知影響
有關解決問題的建議(自選)
公鑰:
複製公鑰:
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SfEx
回報漏洞
* 如果我們的IT團隊無法重製並驗證問題,則不會分配獎金。
* 請附上您的比特幣 / 以太幣地址以便接收獎金。
合格(範圍)
參與漏洞獎勵計畫的合格標準為SpectroCoin提供的所有服務,包含SpectroCoin的iOS和安卓的應用程式,SpectroCoin錢包,API,商家工具,卡片和交易等。
一般而言,可能使財務損失或洩露數據的漏洞被認為具有足夠的嚴重性,其中包含但不限於:
- 跨站請求偽造(
Cross-Site Request Forgery (CSRF)
)
- 跨網站指令碼(
Cross-Site Scripting (XSS)
)
- 程式碼插入(
Code Injection
)
- 遠端程式碼執行(
Remote Code Execution
)
- 特權提升(
Privilege Escalation
)
- 略過驗證或權限檢查(
Authentication Bypass
)
- 點擊劫持(
Clickjacking
)
- 洩漏敏感數據(
Leakage of Sensitive Data
)
不合格(超出範圍)
通常,以下漏洞不符合嚴重性門檻:
- 第三方管理的網站上的漏洞,除非它們導致在主要網站上的漏洞(
Vulnerabilities on sites hosted by third parties unless they lead to a vulnerability on the main website
)
- 密碼複雜性要求(
Password complexity requirements
)
- Self-XSS
- 阻斷服務(DoS)(
Denial of service (DoS)
)
- 濫發電子訊息(
Spamming
)
- 可用性問題(
Usability issues
)
- 影響過時或未修補的瀏覽器的漏洞(
Vulnerabilities affecting outdated or unpatched browsers
)
- 第三方應用程式中使用SpectroCoin API,但漏洞來自於第3方程式(
Vulnerabilities in third party applications which make use of the SpectroCoin API
)
- 無漏洞利用能力示範,來自自動化工具或掃描的報告(
Reports from automated tools or scans, without exploitability demonstration
)
- 非技術攻擊,如物理攻擊,社交工程,網絡釣魚等。 (
Non-technical attacks, such as physical attack, social engineering, phishing, etc.
)
- 之前已經報告過的漏洞(
Bugs that have been already reported before
)
- 我們已經知道的漏洞(
Bugs known to us
)
- 無法重現的漏洞(
Non-reproducible issues
)
如何協助保護SpectroCoin和我們的用戶
回報漏洞
