随便找了一个Bug Bounty翻译了一下,学习学习,不会或不能翻译的就保持原文了。
https://hackerone.com/priceline
- 每个报告只提交一个漏洞,除非需要几个漏洞串起来才能构成危害
- 碰到撞洞的情况,我们只奖给第一个报告的作者(前提是可以复现)
- 由同一原理导致的多个漏洞只算一个Bounty
- 禁止社工
- 尽量避免对他人隐私造成侵犯,对数据进行破坏,或对我们的服务造成影响。只对你有权限的账号进行测试。必须遵守Hackerone的披露指南以及本政策中概述的所有内容。
- 我们不能在任何美国制裁名单上的任何个人或任何美国制裁名单上任何国家的任何个人奖励或与任何个人做生意,包括古巴,苏丹,朝鲜,伊朗或叙利亚的居民
- 漏洞的影响程度由Priceline安全团队决定
- 注意收录范围,注意跟其他域名/子域名相关的报告会被关闭,不予奖励。
- 别访问私有客户信息
- 不要查看、修改、破坏其他人的数据。如果需要测试漏洞,自己建一个账号
- 不要影响我们的可用性(DoS或者垃圾邮件)
- 不要把未经验证的工具扫出来的报告发给我们
- 在Bounty中提供自己的IP
- 如果可能,使用自定义的HTTP头,在报告里说明,比如,可以这样显示你的id:
X-Bug-Bountry: HackerOne-shadowsock5
- 首次响应时间(从报告提交开始算):2个工作日
- 首次处理时间(从报告提交开始算):2个工作日
- 发放奖励时间(从开始处理开始算):1个工作日(最多2周)
- 解决时间:30天
- url里有session token。我们知道有些老站会有这种情况。
- 不可利用的XSS:Referer、User-Agent、Cookies参数中的XSS
- 服务名/版本号暴露(不算敏感信息)
- Loading mixed content
- 没有加HTTP Security头
- 不敏感的Cookie没有加flag
- 点击劫持
- Dos、DDoS及其他影响可用性的攻击
- 对Priceline办公区或数据中心的物理攻击
- 用户资料更改时的通知邮件
- 社工,对员工或客户进行钓鱼等
- 不要把扫描器的报告发过来。如果漏洞真实存在,你需要提供复现的必须步骤,或/和PoC。自动化报告不收,我们会马上关闭issue,拒绝处理。
- 由于error或者文本注入导致的内容污染
- 有漏洞组件/库(比如jQuery),但是没有可展示的payload,不收