简体中文,English
漏洞賞金計劃
我們通過賞金計劃來邀請軟件安全社區研究和發掘 Matters 平臺上的安全漏洞。如果你想要報告安全漏洞或者有問題詢問,請通過 security@matters.news 聯繫我們。
符合標準的漏洞
以下域名與材料屬於本計劃範疇內:
- *.matters.news
- Matters Lab 的公開代碼庫,包含通過 HTTP 協議及 IPFS 協議傳輸的網頁應用
爲符合該計劃資格,你需要展示如何可重複地利用以上域名與材料中的安全漏洞,比如:
- 跨站腳本攻擊
- 跨站請求僞造攻擊
- 身份驗證與權限授予錯誤
- 官方 API 頻率與複雜度限制漏洞
- 服務器端代碼或邏輯錯誤
- 代碼注入攻擊
- 重要安全配置錯誤
不符合標準的漏洞
以下是一些我們認爲不會造成明顯威脅、或者需要結構性調整產品邏輯才能解決的議題。我們不將這些議題作爲有效漏洞,但我們仍然希望聽到你的建議和評論。
- Self-XSS
- 沒有實用攻擊場景的 CSRF/CORS 配置漏洞
- 同一個用戶註冊多個帳號
- 自動化一些用戶操作,例如讚賞、評論或者閱讀記錄
- 使用 Matters API 的第三方工具上的漏洞
- LikeCoin、IPFS 等第三方項目的內部邏輯
我們希望你:
- 在修復前不公開漏洞。
- 不去嘗試獲取其他用戶的數據和賬戶信息。在需要進行跨帳號測試時,使用你自己的測試賬戶。
- 不進行會影響我們服務和數據可靠性的攻擊行爲。
- 在測試中不影響其他用戶,包括用不屬於你的帳號測試漏洞,否則我們可能會凍結你的帳號並封鎖對應的 IP 地址。
- 不使用漏洞掃描軟件或者其他自動化探測工具。這些工具會對我們的服務引入大量噪音和額外壓力,我們也有可能會凍結你的帳號並封鎖對應的 IP 地址。
- 不對我們的員工、用戶和基建進行社會工程、釣魚或者物理層面的攻擊。
- 如果有疑問,通過郵件聯繫我們。
我們會:
- 儘快回覆你的提交。
- 在修復漏洞的過程中與你保持同步。
- 在你抱着善意參與項目並按照規則行事時不採用法律手段。
- 優先審閱和獎勵測試與說明更加完善的漏洞報告
獎金
我們將會根據漏洞的嚴重程度和提交的完善程度自主決定獎金的級別。獎金可以以 LikeCoin(優先考慮) 的形式或者美元的形式送出。
關鍵:$500 (50000 LIKE)
關鍵的安全漏洞對廣大用戶或 Matters 平臺本身造成直接和立即的威脅。例如:
- 數據庫 SQL 注入
- 繞過用戶登錄機制控制一名用戶的賬戶
- 接入生產環境中用戶敏感資料
- 接入生產環境內部系統,例如基建管理、後臺管理系統
- 獲取其他用戶的接入密鑰
- 從其他用戶的錢包裡支付或者提現
重要:$150(15000 LIKE)
重要的安全漏洞允許攻擊者讀取或者更改未經許可的銘感數據。重要安全漏洞一般而言比關鍵安全漏洞波及範圍更小,但是仍然可以給攻擊者打開大量未經許可的權限。例如:
- 向 matters.news 網頁中注入攻擊者控制的內容或代碼(跨站脚本)
- 繞過權限控制獲取未經許可的權限
- 在公開資源中發現敏感用戶信息
- 接入只應由 Matters 團隊接入的非關鍵資源
中等:$100 (10000 LIKE)
中等的安全漏洞允許攻擊者讀取或者更改部分未經許可的數據。中等安全漏洞一般比重要安全漏洞暴露的數據敏感程度更低或者範圍更小。比如:
- 在 Matters 平臺上獲取隱藏文章的標題及內容
- 在其他用戶的會話中進行敏感操作
- 繞開跨站請求僞造保護進行低風險操作
- 干擾和操控排序與推薦系統
輕度:在 GitHub 與 Matters 上致謝與認可
不屬於以上定義的安全漏洞,或者週邊服務及第三方依賴相關的漏洞。比如:
- 測試功能的誤發佈
- 繞開圖片上傳大小限制或者 API 請求的頻率限制
- 沒有嚴重後果的不當錯誤處理
法務與尾註
我們只接受個人開發者與研究者的漏洞提交,而不與漏洞交易商合作。
如果你所居住的國家在美國禁止出口名單中,或者你在美國聯邦通緝令或禁止出口名單上,你將無法參與這個計劃。
我們保留對漏洞提交的價值和有效性的最終決定權。本項目在未來可能會變更和取消,但變更將不具追溯效力。感謝你和我們一起讓 Matters 更加安全!