TopCashback致力于对安全漏洞进行深入研究,不断提升网站的安全性。我们承诺积极与安全社区合作,彻底调查并解决平台和服务器中的安全问题。本文件旨在定义TopCashback与安全研究社区合作的方式,以共同提升我们的互联网安全性。
范围
TopCashback产品和服务中的漏洞只有在满足以下条件时,才属于漏洞奖励计划的范围:
- 漏洞必须是首次被发现的,且未通过我们的内部程序检测到;
- 需证明如果报告的漏洞被非法人员利用,会对TopCashback、其员工或会员产生实际影响。漏洞的存在并不一定表明潜在影响的存在,理论性的影响将不被视为属于计划范围;
- 漏洞必须存在于具有.well-known文件夹中包含security.txt文件的域名内。只要其主域名在范围内,子域名也被视为在范围内。例如,https://<topcashback.cn>/.well-known/security.txt的存在意味着subdomain.topcashback.cn和www.topcashback.cn也属于范围内。
以下安全问题目前不属于范围内(请勿报告):
- 流量型/拒绝服务漏洞(例如,通过发送大量恶意流量造成网站、服务器或网络资源不堪重负。);
- TLS配置弱点(例如,弱加密套件漏洞、TLS1.0协议、Sweet32等);
- 不符合“最佳实践”的报告(例如:缺少安全标头或SPF、DMARC等电子邮件相关配置的缺陷);
- 与创建账户时使用的电子邮件验证相关的问题;
- 点击劫持漏洞;
- Self型跨站脚本攻击(用户被诱导将代码粘贴到其浏览器中);
- 影响较轻的跨站请求伪造;
- 影响较轻的CRLF注入攻击;
- 影响较轻的HOST标头注入漏洞;
- 网络枚举漏洞(例如横幅抓取);
- 关于不当的会话管理和会话固定攻击的漏洞。
返回页面顶端
漏洞奖励
温馨提示:TopCashback不实行付费的漏洞奖励计划。但是对于符合条件的研究人员,为感谢您花费时间和精力调查并向我们报告安全漏洞,我们将提供一份特殊的TopCashback奖励,以表达我们的谢意。
返回页面顶端
报告漏洞
如果您发现了一个属于上述范围内的安全漏洞(详情请参阅文章第2节),请发送报告电子邮件至 contact@topcashback.cn,并包括以下内容:
- 发生漏洞的网址或页面。
- 对漏洞类别的简要描述(例如,“XSS漏洞”)。请勿在此阶段包含任何可能重现该问题的详细信息。我们将在后续阶段索要具体细节。
根据行业惯例,我们要求报告者在可能的情况下提供无害开发证明(即非破坏性证明)。这有助于确保报告能够被快速准确地分类,同时也减少了重复报告和/或某些漏洞类别(例如子域名接管)被恶意利用的可能性。请确保在首次发送的纯文本电子邮件中不要包含漏洞如何被利用的细节,尤其是在该漏洞仍然可以被利用的情况下。同时,请您确保所有漏洞利用证明都符合我们的指导原则(见下文)。如果您有任何疑问,请发送邮件至 contact@topcashback.cn 以获取建议。
在报告漏洞之前,请完整阅读本文档,以确保您了解本政策并能够遵循其要求进行操作。
返回页面顶端
响应
在您发送电子邮件至 contact@topcashback.cn 后,TopCashback的安全团队会在72小时内向您回复确认邮件。在确认邮件中将包含漏洞报告编号,您可以在之后的沟通中引用该编号。确认邮件中还将附带一个PGP密钥,您可以使用该密钥加密包含敏感信息的后续邮件。
在首次报告漏洞后,我们的安全团队将对此次报告进行分类处理,并尽快回复您确认是否需要进一步的信息,以及该漏洞是否符合上述范围或是否被重复报告过。与此同时,涉及的必要修复工作将分配给相关的TopCashback团队和/或供应商处理。漏洞修复和/或补救措施的优先级将根据影响的严重性和研发的复杂性进行分配。漏洞报告的分类处理和/或修复可能需要一定的时间,为确保安全团队能及时处理报告,我们仅能至少每14天回复一次您的进度询问。
我们的安全团队会在漏洞被成功修复(或修复工作已妥善安排)后通知您,并会向您确认解决方案是否充分修复了该漏洞。我们欢迎您向我们反馈报告处理的过程以及漏洞解决的相关意见。为帮助我们改进报告的处理方式、开发及流程,您反馈的信息将被严格保密。在征询过您的意向后,我们还将在致谢页面感谢您为修复工作给予过的帮助。
返回页面顶端
指南
安全研究人员不得有以下行为:
- 访问不必要的大量数据。2至3条记录已足以证明大多数的漏洞(如枚举漏洞或直接引用漏洞);
- 侵犯TopCashback用户、员工、合同方或系统等隐私。例如,通过共享、分发和/或未妥善保护从我们的系统或服务器中获取的数据;
- 通过非范围内的沟通方式或与TopCashback的专属联络人员以外的人沟通漏洞或相关细节;
- 篡改不属于您的数据或信息;
- 干扰我们的服务器和/或系统;
- 在TopCashback确认漏洞已被补救或修复之前,将漏洞的任何信息披露给第三方或公众。这并不妨碍通知与漏洞直接相关的第三方,例如,当报告的漏洞会涉及相关软件库或框架时,但此类通知中不得提及TopCashback相关的具体信息。如果您不确定是否可以通知第三方,请发送电子邮件至 contact@topcashback.cn 寻求建议。
我们要求从研究过程中获取的任何数据在不被需要时,或漏洞解决后最多1个月内进行安全删除,以先发生的时间为准。此外,我们要求您回复电子邮件 contact@topcashback.cn 确认数据已完全删除。
如果您在任何阶段对需要采取的操作存在疑问,请联系我们的安全团队contact@topcashback.cn获取指导与建议(首次沟通时请勿包含任何敏感信息)。
法规
本政策旨在指导与道德安全研究人员关于通用实践的良性互动。但本政策未授权您以任何不符合法律或可能导致TopCashback违反其法律义务的方式行事,包括但不限于:
- 《计算机滥用法》(1990)
- 《通用数据保护条例》(GDPR)2016/679 和《数据保护法》(2018)
- 《版权、设计与专利法》(1988)
TopCashback集团承诺不会对依据本政策,并本着善意报告范围内的安全漏洞的任何安全研究人员提起诉讼。
返回页面顶端
建议与反馈
如果您希望对本政策提供反馈或建议,请联系我们的安全团队:contact@topcashback.cn。本政策会持续更新完善,请您时时关注,以确保掌握最新内容和相关性。
返回页面顶端