计划规则
维持有效的安全性是社区的一项工作,我们为拥有一支充满活力的独立安全性研究人员小组而感到自豪,他们自愿投入时间帮助我们发现潜在的问题。为了认识到他们的努力及其在保持TWITTER对所有人安全方面发挥的重要作用,我们提供了赏金来报告某些合格的安全漏洞。报告漏洞之前,请确保您查看以下程序规则。参加此计划,即表示您同意受这些规则的约束。
奖赏
Twitter可以单方面决定向合格漏洞的合格报告者提供奖励。我们的最低奖励为$ 140 USD。奖励通常在星期五支付。下表概述了范围内属性的特定类别漏洞的名义奖励(请参阅“范围”部分)。
| 类别 | 例子 | 核心推特[1] | 其他一切 |
|---|---|---|---|
| 远程执行代码 | 命令注入 | $ 20,160 | $ 10,080 |
| 管理功能 | 访问内部Twitter应用程序 | $ 12,460 | $ 6,300 |
| 不受限制地访问数据(文件系统,数据库等) | XXE,SQLi | $ 12,460 | $ 6,300 |
| 缺陷泄漏PII或绕过重要控件 | IDOR,模拟,用户敏感操作 | $ 7,700 | $ 3,920 |
| 帐户接管 | OAuth漏洞 | $ 7,700 | $ 3,920 |
| 代表用户执行活动 | XSS,Android意向滥用 | $ 2,940 | $ 1,540 |
| 其他有效漏洞 | CSRF,点击劫持,信息泄漏 | $ 280-$ 2,940 | $ 140-$ 1,540 |
[1]芯微博被定义为任何托管于*.twitter.com,*.pscp.tv,*.periscope.tv,和Twitter拥有和操作的移动客户端。
Twitter可能选择为异常聪明或严重的漏洞支付较高的奖励,或者为需要大量或异常用户交互的漏洞支付较低的奖励。
报告资格
可重现并严重影响Twitter用户安全的任何设计或实现问题都可能在该程序的范围之内。考虑一下攻击情景,攻击者如何受益?对受害者有什么后果?在谷歌的Bug猎人大学指南 在考虑问题是否对安全产生影响时可能会很有用。
只有满足以下要求的报告才有资格获得金钱奖励:
- 您必须是该漏洞的第一位报告者
- 该漏洞必须证明对站点或范围内的应用程序有安全影响(请参阅下文)
- 您一定不能损害我们用户的隐私或违反Twitter规则
- 根据漏洞披露准则中所述的过程,您不得在关闭报告之前公开披露该漏洞。
- 法律上不禁止我们奖励您
根据其影响,发行可能有资格获得金钱奖励;所有报告都将根据具体情况进行审核,任何导致更改的报告将至少获得名人堂认可。
在研究安全性问题时,尤其是那些可能危害他人隐私的问题时,您必须使用测试帐户以尊重我们用户的隐私。访问其他用户的私人信息,执行可能会对Twitter用户造成负面影响的操作(例如,垃圾邮件,拒绝服务),或者在不验证他们的情况下从自动工具发送报告,将立即取消该报告的资格,并可能导致采取其他措施。
以下问题不在我们的漏洞奖励计划的范围内(不合格或误报):
- 需要物理访问用户设备的攻击
- 对Twitter财产或数据中心的任何物理攻击
- 填写缺少CSRF令牌的表格(我们需要提供实际CSRF漏洞的证据)
- 注销CSRF
- 密码和帐户恢复策略,例如重置链接到期或密码复杂性
- 无效或缺少SPF(发送方策略框架)记录
- 内容欺骗/文字注入
- 与不受Twitter控制的软件或协议有关的问题
- 垃圾邮件报告(有关更多信息,请参见此处)
- 绕过URL恶意软件检测
- 漏洞仅影响过时或未修补的浏览器和平台的用户
- Twitter员工或承包商的社会工程
- 没有明确确定的安全影响的问题,例如静态网站上的点击劫持,缺少安全标题或描述性错误消息
- 导致网络或应用程序层的Twitter服务器遭到拒绝服务(DoS)的问题。
如果您认为自己的帐户已被盗用,请直接联系Twitter支持。
印刷精美
您必须遵守与参加此计划有关的所有适用法律。您还应对与获得的任何奖励相关的任何适用税负负责。
我们可能会随时修改本程序的条款或终止本程序。我们不会追溯地对这些程序条款进行任何更改。
hgg
观看了
waye