Security Program - Black Space 黑杜科技

Security Program

   介紹:

Black Space 黑杜科技很榮幸在這裡向安全研究人員宣布,我們正式推出漏洞獎勵計畫(Bug Bounty) 。

但為什麼我們要推這個方案? 因為我們雖設有安全團隊來執行滲透審查,但是難免有時網站應用服務出現新技術漏洞或者任何不同思維影響出來的安全問題,都必須得靠外部來協助調查報告,黑杜科技有許多旗下產品服務都是設置在Server 端或者Client 端,肉眼是看不出來的:( 得靠略有技術的人才能看出。

我們團隊推出這個獎勵計劃可能不如其他大廠牌公司(例:Google 、Facebook、Microsoft) 但我們內部決定總要用些實質獎勵來鼓勵替我們找到安全漏洞的Security Researcher。

      政策:

1.範圍

我們專注於任何網路應用程序服務

- 報告時,盡可能提供可以重現漏洞的概念(POC)

-超出於(*.blackspace.com.tw  、35.194.171.158 網域 )  ,不是我們能管理的程序



2. 接受漏洞金額



漏洞金額
RCE (遠程代碼執行)
$ 7,000 ~ 12,000
 SQLi
$ 6,500 ~ 7,100
IDOR ( 不安全的直接對象)
$ 5,000 ~ 6,000
跨站請求偽造(CSRF)
$ 4,200 ~ 5,000
跨站腳本攻擊(all XSS)
$ 700 ~ 3,400
目錄遍歷 (Directory Traversal)
$ 根據影響程度 ~ 最高1萬2
打開重定向(Open Redirect)
$ 800
 其他(Other)$ 100 ~



3. 不合格的漏洞

1. CSRF (登入、註銷,缺少令牌)

2.頁面未使用HTTPS 

3.HTTP-Only  未設置

4.拒絕服務攻擊(Dos) 

5.SSL / TLS 配置問題

6. 會話過期(未能指出造成的漏洞)


合格的漏洞能得到上述獎勵

4. 付款

我們採用新台幣(TWD) 貨幣付款給獲得資格的安全研究人員

若得到漏洞承認,我們會私下與你聯繫討論獎金發放方式

我們團隊採用ATM 轉帳方式匯款至帳戶

5. 提交報告方式

請傳送有關漏洞報告訊息至[email protected]

我們會盡快在24小時內回覆給您! 

6. 名人堂(Hall Of Fame) 發布

雖然Black Space 黑杜團隊不是什麼知名組織或團隊XD,但願能提升每位安全研究人員成就感。


7. 聲明

你不能對我們網站服務進行其他毀滅性攻擊(蓄意攻擊)

發現漏洞盡可能通報給我們Security Team ,不要公開任何有關我們漏洞敏感消息

黑杜科技有權利保留及隨時修改或終止程序權益。




沒有留言:

張貼留言