Doist故障报告奖励政策

请通读我们的政策,因为它清楚地说明了我们会给予奖励的安全问题类型。只有通过我们的联络表(在这个页面底部访问)提交的报告才有机会获得奖励。

在Doist,我们的故障报告奖励政策是我们安全防护的重要元素之一。如果您发现了一个安全问题并且认为我们应当重视,我们很乐意与您合作。您的付出可能会收获一份金钱奖励。

资格

  • 您必须是第一个发现问题的人,这样才有可能获得奖励。
  • 您必须辅助我们的团队获得额外的信息来重现和解决问题。

政策条款

  • 遵守HackerOne’s disclosure guidelines
  • 删除任何测试数据或着作为研究成员之一而创建的账户。
  • 不能攻击或与终端用户接触。
  • 不能使用被偷取的用户数据,包括凭证。
  • 不能使用自动化扫描或测试,包括DoS攻击。
  • 不能使用社交引擎攻击,比如网络诱骗。
  • 不能参与Doist员工或其设备的物理测试。
无法遵守以上条款将会被立刻取消资格。

潜在目标

提交您的报告

  • 提供一份详细的报告,其中包括清晰的重现步骤、对我们的产品和/或用户的影响和任何您可能正在使用测试数据的测试账户。
  • 确保在不同的支持请求中分别报告问题。
  • 确保您的报告标题清晰地描述了您发现的漏洞。
  • 您的提交必须包含重现漏洞的文字说明。任何没有清晰重现步骤或者只有视频PoC的报告将无法获得奖励。

奖励

您可能会收到一份金钱奖励,如果:
    • 您是第一个报告产品故障的人
    • 我们的团队认为您报告的故障为有效安全问题
    • 您遵守了以上全部的政策条款

我们的团队将会决定具体的奖励金额,他们会评估每份报告并确定故障级别来给予对应的奖金。故障级别会在内部根据故障的类型和潜在的影响来决定。以下是您可以找到的每个故障级别的示例概览:

  • 不影响安全的问题,比如non-200 HTTP回应、应用或者服务器错误等。
  • 没有清晰的安全方面影响的问题,比如登出CSRF、缺少HTTP安全标题、SSL问题、密码政策问题或者不具备敏感操作的点击劫持。
  • 影响旧版应用或插件的问题,无论是有效的还是在维护的
  • 影响第三方的问题,比如第三方应用或我们使用的服务器(例如,Firebase、ZenDesk)
  • 涉及垃圾邮件或社交引擎技术的问题,比如SPF和DKIM,以及缺少DNSSEC。
  • 涉及服务器信息泄漏的问题,即`X-Powered-by`和`Server`响应标头。当公开信息包含带有相关的CVE公开服务器版本时,也可能会存在例外。
  • 涉及部分服务上使用服务端伪造请求(SSRF)来假装主动请求的相关问题,需要证明敏感信息会被泄漏。
  • 需要非常规的用户交互的问题(例如,通过SSO登录的账户接管)。
  • 报告要求可以优先访问目标设备,除非报告本身不在我们的管控之内。这包括但不限于:访问浏览器cookies和/或其他模拟用户的口令、访问用户的电子邮箱地址等。
  • 点击劫持问题发生在前置认证的页面,或缺少`X-Frame-Options`响应,或任何其他可以利用的点击劫持问题。
  • 跨资源共享(CORS)问题,服务器不会响应`Access-Control-Allow-Credentials: true`标题。
  • 缺少速率限制,需要说明由它引起的可以被利用的漏洞。
  • 注册、登录和忘记密码页面的用户电子邮件枚举。
  • URIs中的可用文件会带有以`/.well-known`开头的路径(也被称为well-known URIs)。
  • 通过密码重置绕过2FA
  • 客户应用的具体问题
    • 未加密存储的用户数据
    • 缺乏清晰的阐述
    • 运行时的漏洞攻击,包括对正在运行的代码或其环境的控制
  • 开发的重新定向
  • 服务器配置错误或规则错误
  • 信息泄露或公开,不包括用户敏感信息
  • 跨资源共享(CORS)问题,服务器会通过`Access-Control-Allow-Credentials: true`标题来响应第三方`Origin`标题的要求(例如,不是`*.todoist.com`、`*.twist.com`)。
  • 显示的XSS
    • 混合内容问题,如果目标URL没有响应‘强制安全传输技术’(即HSTS)标头。这会存在风险,但是仅限于每个域/子域的单独交互(取决于HSTS值)。2021年的时候,浏览器已经变成了默认HTTPS,进一步缓解了这个问题。
  • 其他低等级别的问题
  • CSRF / XSRF
  • 导向内部服务器的SSRF
  • 已储存的XSS
  • 其他中等级别的问题
  • 信息泄露或公开,包括用户敏感信息
  • 其他高等级别的问题
  • SQL注入
  • 远程执行代码
  • 特权升级
  • 认证失败
  • 导向内部服务器的SSRF,导致严重的安全风险
  • 其他严重级别的问题
应用危急
Todoist$0$100$200$500$1000
Twist$0$50$100$250$500

在我们Android移动应用上的问题可能能够获得一笔额外的奖励,请查看Google Play Security Rewards Program

所有奖励会通过Paypal支付。

Doist团队将保留故障是否有效的决定权。

所有奖励金额的最终决定权将由Doist故障报告奖励团队所有。

联系我们

提交一个漏洞