欢迎来到我们的错误赏金计划，我们会奖励那些先于我们的客户发现我们的错误的人。您认为您发现了错误吗？太好了，我们迫不及待地将您的名字添加到我们的“名人堂”（或耻辱，取决于严重程度）。

披露政策

BugBase 非常重视安全性，并且致力于保护我们的社区。如果您发现我们的服务存在潜在的安全问题，请立即向我们报告，以便我们采取适当的措施来解决问题。

为了帮助我们尽快解决该问题，请向我们提供尽可能多的有关该问题的信息，包括有关如何发现该问题及其可能产生的潜在影响的详细信息。

我们的错误赏金计划专门用于报告潜在的安全漏洞。如果您想报告功能错误、需要提交帮助或有一般疑问，请访问我们的联系页面 寻求帮助。

我们要求您在向公众或任何第三方披露该问题之前给我们合理的时间来解决该问题。我们还要求您在调查问题时真诚地努力避免对我们的服务造成任何伤害或损害或侵犯我们用户的隐私。

我们很荣幸您想测试我们的安全限制，但请尽量抑制您的兴奋并遵守规则。

计划规则

• 请不要在我们的系统上使用任何扫描仪或工具，我们只想看到您的创造性黑客技能的实际应用。不用担心，我们的安全团队知道如何运行 nuclei 和 nessus 等工具。向我们展示您所拥有的！
• 请记住，在修复漏洞之前不要讨论任何漏洞，这一点很重要。如果您想提供概念证明（例如视频），请确保将隐私设置设置为私有，以便该漏洞不会被公开披露。

注意：所有或任何 POC 应在我们的沙箱域 testing.bugbase.in 上进行尝试和测试，以避免我们的主网站上出现垃圾邮件。请注意，如果任何测试 POC 的报告发送到我们的主网站 (bugbase.in)，它们将被标记为 垃圾邮件

报告指南

• 请提供详细的报告，其中包含清晰的报告文字描述以及重现漏洞的步骤。
• 您必须根据需要添加附件，例如屏幕截图或 PoC 代码。
• 包括清晰的攻击场景。这将如何影响我们呢？
• 每份报告提交一个漏洞，除非您需要链接漏洞以提供影响。
• 重要的是要优先考虑报告的漏洞的质量而不是数量。我们鼓励研究人员在向我们报告之前彻底研究和验证任何潜在的漏洞，以确保发现的任何问题得到及时有效的解决。通过关注报告的质量，您可以帮助我们确保我们的系统尽可能安全。

奖励资格

• 您必须是该漏洞的第一个报告者。
• 您必须遵守我们上述的披露和报告准则。
• 您不得违反任何会阻止我们处理您的奖励或付款的国家、州或地方法律或法规。
• 奖励金额将根据具体情况确定，并考虑漏洞的严重性和影响。
• 我们不会为以下行为支付奖励：
• 之前已报告或我们已知的漏洞。
• 在向我们报告之前向第三方披露的漏洞。
• 现任或前任员工在过去三个月内报告的漏洞。

＃＃ 超出范围

• bugbase.in 的任何子域，除非在“范围内”提及
• 所有测试和登台环境均超出此计划的范围。
• 虽然不受 Bugbase 管理或控制的外部服务或软件通常被认为超出了我们的错误赏金计划的范围，但我们仍然有兴趣了解可能对我们的系统或用户产生影响的漏洞，例如那些可能会影响我们的系统或用户的漏洞。泄露我们客户的个人身份信息 (PII)。我们将根据具体情况考虑此类漏洞的奖励。

奖励排除

以下类别的报告被视为超出我们计划的范围，不会获得奖励：

• 仅列举已声明的用户和程序句柄的报告将没有资格获得奖励，因为它们不会泄露任何敏感信息。无论关联的配置文件是公共的还是私有的，这都适用。
• 使用自动 Bugbase 电子邮件或通知向其他用户发送垃圾邮件（例如滥用忘记密码表单）。
• 如果官方补丁发布时间少于一个月，我们将考虑根据具体情况对公共零日漏洞给予奖励。这使我们有时间在公开披露之前应用补丁并解决问题。
• 以前已知的易受攻击的库，没有有效的概念证明。
• 在没有实际控制子域的情况下发现子域接管漏洞被认为超出了我们的错误赏金计划的范围，并且没有资格获得奖励
• 没有重大可执行影响的信息披露。
• 信息泄露、数据缓存在搜索引擎或网络档案中。
• 自XSS和XSS无影响。
• 密码和帐户恢复政策。
• 会话管理，如：会话超时、会话劫持等。
• 在没有敏感操作的页面上进行点击劫持。
• 没有敏感操作或没有实际利用场景的表单上的跨站点请求伪造 (CSRF)。
• 需要 MITM 或物理访问用户设备的攻击。
• 逗号分隔值 (CSV) 注入，无需展示漏洞。
• 缺少 SSL/TLS 配置的最佳实践。
• 任何可能导致我们的服务中断 (DoS) 或自我 DoS 问题的活动（例如，只有执行该操作的人才会被拒绝提供服务）。
• 内容欺骗和文本注入问题，但不显示攻击向量/无法修改 HTML/CSS
• 非身份验证端点上的速率限制或暴力破解问题。
• 缺少内容安全策略的最佳实践。
• cookie 上缺少 HTTP Only 或 Secure 标志。
• 缺少电子邮件最佳实践（无效、不完整或丢失 SPF/DKIM/DMARC 记录等）
• 漏洞仅影响过时或未修补浏览器的用户[最新发布的稳定版本之前的稳定版本少于2个]
• 软件版本泄露/横幅识别问题/描述性错误消息或标头（例如堆栈跟踪、应用程序或服务器错误）。
• 标签捕捉
• 未表现出明显影响的开放重定向漏洞，例如将秘密令牌发送到任意域。
• 不太可能需要用户交互的问题。

安全港

Bugbase 不会对无意中善意违反我们政策的个人采取法律行动，我们也不会因道德黑客活动中规避用于保护我们系统范围的技术措施而提出投诉。

如果第三方对您采取法律行动，并且您遵循了我们的准则，我们将采取措施，让大家知道您的行为是经过我们批准并符合我们的政策的。

这些错误就在那里，我们指望您能找到它们。让狩猎开始吧！