黑客赏金猎人:Twitter公司网站的漏洞悬赏计划规则

计划规则

维持有效的安全性是社区的一项工作,我们为拥有一支充满活力的独立安全性研究人员小组而感到自豪,他们自愿投入时间帮助我们发现潜在的问题。为了认识到他们的努力及其在保持TWITTER对所有人安全方面发挥的重要作用,我们提供了赏金来报告某些合格的安全漏洞。报告漏洞之前,请确保您查看以下程序规则。参加此计划,即表示您同意受这些规则的约束。

奖赏

Twitter可以单方面决定向合格漏洞的合格报告者提供奖励。我们的最低奖励为$ 140 USD。奖励通常在星期五支付。下表概述了范围内属性的特定类别漏洞的名义奖励(请参阅“范围”部分)。

类别例子核心推特[1]其他一切
远程执行代码命令注入$ 20,160$ 10,080
管理功能访问内部Twitter应用程序$ 12,460$ 6,300
不受限制地访问数据(文件系统,数据库等)XXE,SQLi$ 12,460$ 6,300
缺陷泄漏PII或绕过重要控件IDOR,模拟,用户敏感操作$ 7,700$ 3,920
帐户接管OAuth漏洞$ 7,700$ 3,920
代表用户执行活动XSS,Android意向滥用$ 2,940$ 1,540
其他有效漏洞CSRF,点击劫持,信息泄漏$ 280-$ 2,940$ 140-$ 1,540

[1]芯微博被定义为任何托管于*.twitter.com*.pscp.tv*.periscope.tv,和Twitter拥有和操作的移动客户端。

Twitter可能选择为异常聪明或严重的漏洞支付较高的奖励,或者为需要大量或异常用户交互的漏洞支付较低的奖励。

报告资格

可重现并严重影响Twitter用户安全的任何设计或实现问题都可能在该程序的范围之内。考虑一下攻击情景,攻击者如何受益?对受害者有什么后果?在谷歌的Bug猎人大学指南 在考虑问题是否对安全产生影响时可能会很有用。

只有满足以下要求的报告才有资格获得金钱奖励:

  • 您必须是该漏洞的第一位报告者
  • 该漏洞必须证明对站点或范围内的应用程序有安全影响(请参阅下文)
  • 您一定不能损害我们用户的隐私或违反Twitter规则
  • 根据漏洞披露准则中所述的过程,您不得在关闭报告之前公开披露该漏洞。
  • 法律上不禁止我们奖励您

根据其影响,发行可能有资格获得金钱奖励;所有报告都将根据具体情况进行审核,任何导致更改的报告将至少获得名人堂认可。

在研究安全性问题时,尤其是那些可能危害他人隐私的问题时,您必须使用测试帐户以尊重我们用户的隐私。访问其他用户的私人信息,执行可能会对Twitter用户造成负面影响的操作(例如,垃圾邮件,拒绝服务),或者在不验证他们的情况下从自动工具发送报告,将立即取消该报告的资格,并可能导致采取其他措施。

以下问题不在我们的漏洞奖励计划的范围内(不合格或误报):

  • 需要物理访问用户设备的攻击
  • 对Twitter财产或数据中心的任何物理攻击
  • 填写缺少CSRF令牌的表格(我们需要提供实际CSRF漏洞的证据)
  • 注销CSRF
  • 密码和帐户恢复策略,例如重置链接到期或密码复杂性
  • 无效或缺少SPF(发送方策略框架)记录
  • 内容欺骗/文字注入
  • 与不受Twitter控制的软件或协议有关的问题
  • 垃圾邮件报告(有关更多信息,请参见此处
  • 绕过URL恶意软件检测
  • 漏洞仅影响过时或未修补的浏览器和平台的用户
  • Twitter员工或承包商的社会工程
  • 没有明确确定的安全影响的问题,例如静态网站上的点击劫持,缺少安全标题或描述性错误消息
  • 导致网络或应用程序层的Twitter服务器遭到拒绝服务(DoS)的问题。

如果您认为自己的帐户已被盗用,请直接联系Twitter支持

印刷精美

您必须遵守与参加此计划有关的所有适用法律。您还应对与获得的任何奖励相关的任何适用税负负责。

我们可能会随时修改本程序的条款或终止本程序。我们不会追溯地对这些程序条款进行任何更改。

Comments

发表评论