Bug赏金计划
在Ironcore实验室,数据的安全性是我们使命的核心,我们想了解任何可能对该安全威胁的漏洞。
概述
我们的漏洞奖励计划是为了奖励像您这样遵循负责任的披露原则的人,当您发现可能影响我们平台或我们客户安全的漏洞时,请联系我们。
为了参与,你需要遵循以下简单的指导方针。我们可以根据自己的判断,删除并阻止那些被发现滥用我们的测试指南的测试帐户。
谁能参加?
任何不为IronCore实验室或我们的合作伙伴工作的人都有资格获得奖励,但作为负责任的披露实践的一部分,任何人都可以向我们提交问题。
范围
目标
以下目标在范围内进行:
*注意,github.com不在范围内。
* *注意npmjs.com不在作用域内。
重要的:
请注意,Ironcore主要网页上的任何漏洞,Ironcorelabs.com.,或者不包含在上面的列表中,被认为是此Bug Bounty程序的范围。
重点领域
该计划专注于Ironcore Labs开发人员API和SDK中的漏洞。
- 开发人员API的漏洞。
- 对用户帐户/信息的未经认证的访问,特别是PII(个人身份信息)。
- 加密问题,不包括SDK中的侧通道问题。10bet手机中文版有关文件可在以下网址找到://www.fmgroupng.com/docs.
生产环境:请注意,此程序范围是生产环境。考虑到这一点,请务必避免危害基础设施,与客户互动,并试图访问,操纵和/或攻击您没有明确拥有的帐户。
范围外和漏洞排除
IronCore的主要网站:*请注意在IronCore的主页上发现的任何漏洞,Ironcorelabs.com.或考虑目标部分未列出的域名的范围并且不符合IronCore的bug赏金计划。*
- DoS / DDoS
- 服务中断
- 物理攻击,社会工程攻击和任何类型的网络钓鱼攻击。
- 第三方系统和解决方案(任何不属于IronCore Labs管理的资源/服务)。
- 垃圾邮件或任何其他大规模分发给客户,合作伙伴等。
- 客户支持渠道(聊天、电话、电子邮件等)
- 不属于IronCore实验室的安全报告。如果您在未在我们的错误赏金程序范围内未涵盖的域的报告中,我们将忽略它。
- 特定于过期浏览器/插件的缺陷。
- 客户端控制的浏览器功能,例如如果在Web Crypto API的特定实现中找到漏洞。
- 运行在主机站点上的恶意代码
- 运行在浏览器插件中的恶意代码
- 简单的非xss内容注入。操纵URL以呈现包含自定义文本的页面,而不限定Bug Bounty程序。
- 跨站点请求伪造。
- 点击,以及任何问题只能通过ClickJack开展地利用。
- 在非敏感cookie上缺少安全标志。
- 跨站点请求伪造提交的问题,其中包含概念的验证。
- 漏洞与自动化工具(包括网络扫描仪)不包括概念代码证明或演示利用。
- 描述性错误消息。
- HTTP 404或其他HTTP错误码/页。
- 信息披露的公共文件或目录,例如robots . txt。
- 拼写错误,UI和UX错误。
- 没有MX记录的域缺少SPF记录的报告
如何提交?
请为我们的错误赏金计划披露问题填写表格。我们将通过电子邮件回复您的表格提交。如果您有更多信息来披露或文件要附加,则可以响应使用其他项目收到的电子邮件。
在提交之前,请审查下面的指南,范围和其他信息,了解您应该和不应该做的以及有资格或不符合赏金资格的方法。
指导方针
- 漏洞报告必须有一个概念证明或详细的逐步解释的安全问题,以便我们可以复制它。
- 请检查范围部分,了解哪些系统和漏洞类别的列表。
- IronCore会对质量更高的报道给予更大的奖励,这些报道包括复制步骤和对用户的影响。
- 我们鼓励研究人员在他们的bug提交中包含屏幕截图或视频,以展示实际的bug。这些截屏或视频不能上传到公共位置,如公共Youtube视频。如果需要,我们可以提供安全共享大文件的方法。只是电子邮件我们。
- 如果有报告的问题,请包含解决问题的建议。
- 我们不会对勒索、辱骂或威胁语言做出反应。
- 诚信研究。
- 不要让您正在访问的任何系统处于比发现时更糟糕的状态。
- 我们需要能够联系研究人员获取更多信息。如果我们与您联系后七天没有回复,我们可能会关闭提交,让您没有资格获得奖励。
- 切勿公开披露客户信息。这是一个追捕错误,而不是客户数据。如果您在研究时找到访问客户信息的方法,请停止并将其报告给我们的Bug Bounty团队。持续未经授权,您无权以任何方式复制,存储,转移或披露客户信息。
- 只有在我们明确同意的情况下才公开披露漏洞。(见信息披露以下是更多细节。)
- 请确保避免损害基础设施,与客户互动,以及试图访问、操纵和/或攻击您没有明确拥有的帐户。
- 请不要创建过多的测试帐户进行测试。
- 避免使用站点范围的扫描仪。研究人员应使用有针对性的扫描工具,以防止影响生产环境。如果在使用目标扫描工具时发现性能下降,则必须停止使用它们。
- 注意自动扫描工具的速率和范围。
- 账户冻结:在测试期间,您的帐户可能会因欺诈保护措施而冻结。
- 由于美国政府的限制,来自伊朗、朝鲜、叙利亚、苏丹或古巴的研究人员没有资格参加铁芯实验室的Bug Bounty计划。
- 你必须年满18岁才能参加IronCore Labs Bug Bounty计划。
公开披露
我们将尽快补救任何关键问题,测试补救措施,并向客户提供补救措施。我们要求您等到我们推出这些修复后再公开披露任何问题。在某些情况下,我们可能需要一些额外的时间,以便客户可以更新他们的SDK版本。
任何没有我们书面同意的公众漏洞披露将导致您没有资格获得Ironcore Labs Bug Bounty计划的资格。
奖励
合法的
Ironcore Labs保留修改Ironcore Labs Bug Bulty计划的条款和条件的权利,或随时取消此计划。您的参与该计划构成了所有条款的接受。对此页面的任何更改截至发布时间有效。
更新
本页更新
- 2018年10月8日添加了排除:“没有MX记录的域名丢失SPF记录的报告”