负责任的信息披露政策
最后更新 15.11.2023
本责任披露政策是 服务条款的延伸。
Bouncer Sp. z.o.o (LTD)(”我们 “或 “我们的”) ,致力于确保客户和员工的安全。
我们的目标是营造一个信任的环境,与安全社区建立开放的合作伙伴关系,我们认识到漏洞披露和举报人对于继续确保我们所有客户、员工和公司的安全和安保的重要性。
我们制定这项政策,既是为了体现我们的企业价值观,也是为了维护我们对善意的安全研究人员的法律责任,他们为我们提供了专业知识,而举报人则为我们的基础设施增加了一层额外的安全保护。
如何提交漏洞
要向 Bouncer 产品安全团队提交漏洞报告,请使用以下电子邮件 [email protected]。
偏好、优先顺序和验收标准
我们将根据以下标准对提交的材料进行优先排序和分流。
我们希望从您那里看到什么?
- 英文报告写得好,解决的可能性就大。
- 包含概念验证代码的报告使我们能够更好地进行分流。
- 仅包含崩溃转储或其他自动工具输出的报告可能会获得较低的优先级。
- 包含不在初始范围清单上的产品的报告可能会获得较低的优先级。
- 请说明发现错误的方式、影响以及可能的补救措施。
- 请包括任何公开披露的计划或意图。
- 此外,请记住,将所有报告标记为[重要紧急]而不管其影响如何是不专业的,会让我们对您的报告不那么认真。
您可以从《弹跳者》中得到什么?
- 及时回复您的电子邮件(5 个工作日内)。
- 分流后,我们将发送一份预期时间表,并承诺尽可能透明地告知补救时间表以及可能延长时间表的问题或挑战。
- 公开对话,讨论问题。
- 在漏洞分析完成每个阶段的审查后发出通知。
- 漏洞验证和修复后的信用。
如果我们无法解决沟通问题或其他问题,”弹跳家 “可能会引入中立的第三方,协助确定处理漏洞的最佳方式。
哪些问题被视为超出范围 :
- 存在其他缓解控制措施的安全措施,如缺少安全标头等。
- 社交工程、网络钓鱼
- 物理攻击
- 子域名接管
- 点击劫持
- 自我 XSS
- 电子邮件欺骗 – 电子邮件验证配置错误
- 缺少 Cookie 标记
- 影响最小的 CSRF,如登录 CSRF、注销 CSRF 等。
- 内容欺骗
- 堆栈跟踪、路径披露、目录列表
- 存在其他缓解控制措施的 SSL/TLS 控制措施
- 抢横幅
- CSV 注入
- 反射文件下载
- 关于过时浏览器的报告
- 报告范围内移动应用程序的过时版本/构建情况
- DOS/DDOS
- 无明显影响的主机标头注入
- 扫描仪输出
- 第三方产品的漏洞
- 用户枚举
- 密码复杂性
- HTTP 跟踪方法
奖励
我们的奖励基于漏洞的严重程度。
如果您报告了我们尚未发现的漏洞,我们将非常乐意补偿您的贡献。此外,由一个根源引起的多个漏洞只能获得一次奖励。
请注意,奖励决定权在我们 。问题的严重性可能会因补偿控制和背景而降低。
最后,请记住,只有在您能向我们开具有效发票的情况下,我们才能支付奖励(通过 PayPal 或电汇)。
奖励和严重程度:
- 严重 – 1000 美元以上
导致平台权限从无权限升级到管理员权限、允许远程执行代码、金融盗窃、未经授权访问/提取敏感数据等的漏洞 - 高 – 500 美元
影响平台安全(包括其支持的流程)的漏洞。 - 中型 – 100 美元
影响多个用户,只需很少或无需用户交互即可触发的漏洞 - 低 – 50 美元
影响单个用户并需要互动或重要前提条件 (MitM) 才能触发的问题。
联系我们
如果您对我们或我们的政策有任何进一步的问题或意见,请发送电子邮件至 [email protected] ,或通过邮寄方式与我们联系:
Bouncer Sp.
ul.Cypriana Kamila Norwida 24/1
50-374 弗罗茨瓦夫
波兰