我們重視資訊安全���,并致力于持續(xù)強化我們的網(wǎng)站防護能力���。如果您是資安研究人員�����,并在我們的網(wǎng)站中發(fā)現(xiàn)潛在漏洞�������,我們誠摯邀請您協(xié)助回報����,我們將對符合資格的回報提供獎勵。
?
?
本漏洞回報計畫僅適用于下列網(wǎng)域���:
http://sxyiyuan.com.cn
?
回報內(nèi)容僅限于以上網(wǎng)站中所屬的公開頁面與功能�����。請勿對公司內(nèi)部系統(tǒng)������、第三方服務(wù)或非公開端點進行測試����,AUO 有權(quán)隨時更改這份清單��������,恕不另行通知。
?
?
為確保合法性與審查便利�����,本計畫僅接受具中華民國國籍且年滿 18 歲之參與者���。參與者需于回報時提供有效身份證明文件��������,以供資格核實及后續(xù)獎勵發(fā)放�。
?
可接受之漏洞類型 (包含但不限于)���:
?
- 跨站腳本攻擊 (XSS)
- 跨站請求偽造 (CSRF)
- 身份驗證繞過
- 權(quán)限提升
- 伺服器端程式錯誤 (如遠(yuǎn)端程式碼執(zhí)行����、SQL Injection)
- 敏感資訊泄漏 (如未授權(quán)存取的個資���、設(shè)定檔)
?
為聚焦于網(wǎng)站安全本身����,以下項目將不列入獎勵范圍���:
?
- 自動化工具掃描出的低風(fēng)險資訊
- Clickjacking
- HTTP headers 缺失 (如 CSP, HSTS 等)
- 公開資訊如 whois 資料或 metadata
- 服務(wù)中斷測試 (如 DoS 攻擊)
- 社交工程或網(wǎng)路釣魚
- 90天內(nèi)公開的零時差漏洞或攻擊
- 未詳述安全問題影響的安全弱點掃描報告
- 缺乏具體概念證明 (PoC) 的理論性風(fēng)險
?
?
若有兩位或以上參與者同時發(fā)現(xiàn)并回報相同漏洞���,我們將以最先完整提交回報者作為有效回報人并提供獎勵�。后續(xù)回報者雖感謝參與���,但不再另行提供獎勵�。
?
?
我們鼓勵負(fù)責(zé)任的漏洞揭露行為���,參與者須遵守以下原則���:
?
- 不得利用或公開漏洞資訊���。
- 不得對服務(wù)造成中斷或影響其他使用者��。
- 僅限進行非侵入性的測試����。
- 一經(jīng)發(fā)現(xiàn)漏洞���,應(yīng)立即停止測試并提出回報��。
- 所有通報的漏洞資訊在未經(jīng)我們明確書面許可前������,不得以任何形式公開揭露�������,包括但不限于社交媒體����、論壇或其他公開平臺�����。
?
?
請將您的發(fā)現(xiàn)透過以下方式回報我們���:
?
- 電子郵件信箱���:bugbounty@ahxuyao.com
- 回報內(nèi)容須包含���:
- 發(fā)現(xiàn)日期與時間
- 受影響頁面 URL
- 漏洞詳細(xì)說明與重現(xiàn)步驟
- 測試時所使用的工具與范例資料 (若有)
?
經(jīng)內(nèi)部審查確認(rèn)為有效漏洞后�����,我們將依風(fēng)險等級提供獎勵����,并聯(lián)系您進行身分確認(rèn)與獎勵發(fā)放程序。
?
?
獎勵金額將視漏洞的嚴(yán)重性與影響程度評估������,范圍如下���:
?
|
風(fēng)險等級
|
獎勵金額(新臺幣)
|
|
低
|
1,000 – 3,000
|
|
中
|
3,000 – 10,000
|
|
高
|
10,000 – 30,000
|
|
我們保留獎勵金額最終解釋與核發(fā)權(quán)利���。
?