漏洞披露政策

介绍

本漏洞披露政策（VDP）适用于您认为需要向Hiveon报告的任何漏洞。在报告漏洞之前，请仔细阅读此VDP，并始终遵守其中规定。

我们非常重视那些按照本政策报告安全漏洞的人。非常感谢您的提交和谨慎。我们感激研究人员协助我们加强安全措施。

您的测试不得违反任何法律、干扰或危及非您自己的任何数据。如果您发现可能存在访问受限数据或资源的潜在漏洞，则应立即通知我们，不要继续自行调查此漏洞。

作用域

本政策适用于以下领域： hiveon.com，the.hiveos.farm，hiveon.net。

指导

尽管我们鼓励您以负责任的方式发现和向我们报告任何漏洞，但以下行为是被禁止的：

• 执行可能对Hiveon或其用户产生负面影响的行动（例如，垃圾邮件、暴力破解、拒绝服务攻击等），或其他可能损害系统或数据的测试
• 访问或尝试访问任何不属于您的数据或信息
• 销毁、损坏或试图销毁或损坏任何不属于您的数据或信息
• 使用高强度的入侵或破坏性扫描工具来查找漏洞
• 实质测试（例如，办公室访问，敞开门，尾随入门），社交工程（例如，钓鱼式攻击、话钓 ）或任何其他非技术漏洞测试
• 社交工程攻击Hiveon团队员工，承包商或用户
• 违反任何法律或协议以发现漏洞

以下发现在此计划中不可获得奖励：

• 已知的公共文件或目录的泄露（例如robots.txt）
• 点击劫持，仅通过点击劫持才能利用的问题
• 注销跨站域请求伪造（注销CSRF）
• 缺乏安全和HTTPOnly cookie标志
• 未正确配置或缺少SPF/DKIM的记录
• 缺乏SSL/TLS最佳实践
• DDoS漏洞
• 缺少HTTP安全头，例如：Strict-Transport-Security，X-Frame-Options，X-XSS-Protection，X-Content-Type-Options，Content-Security-Policy，X-Content-Security-Policy，X-WebKit-CSP，Content-Security-Policy-Report-Only
• 过时的软件版本
• 影响用户的过时浏览器和浏览器扩展程序的问题
• 第三方组件中的漏洞
• 需要极不可能的用户交互的漏洞
• 内容欺骗和文本注入问题，没有真正的攻击向量和/或在不能修改HTML的情况下
• 子域接管没有概念证明
• 域名抢注或任何其他域名猜测
• 需要实质访问用户设备的漏洞
• 由扫描程序或任何自动化或主动利用工具生成的漏洞报告

漏洞报道

如果您认为在我们的平台上发现了潜在的安全漏洞，请直接将报告发送到Hiveon安全团队（[email protected]）。这将确保您的报告直接送达我们，我们可以更快地做出回应。请不要通过普通邮件或支持聊天发送报告。

请不要在公共问题跟踪系统或社交媒体平台（如 Twitter、GitHub 等）上公开披露漏洞。请保守您与公司团队的沟通的机密性。不要向其他用户或公司发送报告或证据。

请确保您的报告包含以下内容：

• 明确和相关的标题
• 受影响的服务/API
• 漏洞详细信息和影响
• 重现步骤/概念证明（例如，Burp Suite 中的视频、截图、curl 命令、代码片段等）
• 任何其他您认为重要的细节

报告漏洞后会发生什么

当您提交报告后，我们将在五（5）个工作日内回复您的报告，并计划在十（10）个工作日内对您的报告进行分类。我们会与您保持联系，通知您我们进步情况。我们将根据影响、严重性和利用复杂度来评估问题。

在解决报告的漏洞后，我们将通知您，并可能邀请您确认解决方案是否足够覆盖了漏洞。一旦您的漏洞得到解决，我们欢迎您请求披露您的报告。但请在收到我们确认收到您的报告后的90个日历日内，不要分享有关任何发现的漏洞的信息。

奖励

我们通常不会为提交的报告提供任何现金奖励。然而，在有效的关键漏洞和高质量的报告的情况下，我们可能会作出例外。奖励的金额基于漏洞的最大影响程度。编写良好和有用的报告更有可能被考虑获得奖励。只有您是第一个报告先前未知漏洞的人，您才有资格获得奖励。