Doist故障報告獎勵政策

請通讀我們的政策,因為它清楚地說明我們會給予獎勵的安全問題類型。只有通過我們的聯絡表(在這個頁面底部訪問)提交的報告才有機會獲得獎勵。

在Doist,我們的故障報告獎勵政策是我們安全防護的重要元素之一。如果您發現了一個安全問題並且認為我們應當重視,我們很樂意與您合作。您的付出可能會收穫一份金錢獎勵。

資格

  • 您必須是第一個發現問題的人,這樣才有可能獲得獎勵。
  • 您必須輔助我們的團隊獲得額外的信息來重現和解決問題。

政策條款

  • 遵守HackerOne’s disclosure guidelines
  • 刪除任何測試數據或著作為研究成員之一而創建的帳戶。
  • 不能攻擊或與終端用戶接觸。
  • 不能使用被偷取的用戶數據,包括憑證。
  • 不能使用自動化掃描或測試,包括DoS攻擊。
  • 不能使用社交引擎攻擊,比如網絡誘騙。
  • 不能參與Doist員工或其設備的物理測試。
無法遵守以上條款將會被立刻取消資格。

潛在目標

提交您的報告

  • 提供一份詳細的報告,其中包括清晰的重現步驟、對我們的產品和/或用戶的影響和任何您可能正在使用測試數據的測試帳戶。
  • 確保在不同的支持請求中分別報告問題。
  • 確保您的報告標題清晰地描述了您發現的漏洞。
  • 您的提交必須包含重現漏洞的文字說明。任何沒有清晰重現步驟或者只有視頻PoC的報告將無法獲得獎勵。

獎勵

您可能會收到一份金錢獎勵,如果:
    • 您是第一個報告產品故障的人
    • 我們的團隊認為您報告的故障為有效安全問題
    • 您遵守了以上全部的政策條款

我們的團隊將會決定具體的獎勵金額,他們會評估每份報告並確定故障級別來給予對應的獎金。故障級別會在內部根據故障的類型和潛在的影響來決定。以下是您可以找到的每個故障級別的示例概覽:

  • 不影響安全的問題,比如non-200 HTTP回應、應用或者服務器錯誤等。
  • 沒有清晰的安全方面影響的問題,比如登出CSRF、缺少HTTP安全標題、SSL問題、密碼政策問題或者不具備敏感操作的點擊劫持。
  • 影響舊版應用或插件的問題,無論是有效的還是在維護的
  • 影響第三方的問題,比如第三方應用或我們使用的服務器(例如,Firebase、ZenDesk)
  • 涉及垃圾郵件或社交引擎技術的問題,比如SPF和DKIM,以及缺少DNSSEC。
  • 涉及服務器信息洩漏的問題,即`X-Powered-by`和`Server`響應標頭。當公開信息包含帶有相關的CVE公開服務器版本時,也可能會存在例外。
  • 涉及部分服務上使用服務端偽造請求(SSRF)來假裝主動請求的相關問題,需要證明敏感信息會被洩漏。
  • 需要非常規的用戶交互的問題(例如,通過SSO登錄的帳戶接管)。
  • 報告要求可以優先訪問目標設備,除非報告本身不在我們的管控之內。這包括但不限於:訪問瀏覽器cookies和/或其他模擬用戶的口令、訪問用戶的電子郵箱地址等。
  • 點擊劫持問題發生在前置認證的頁面,或缺少`X-Frame-Options`響應,或任何其他可以利用的點擊劫持問題。
  • 跨資源共享(CORS)問題,服務器不會響應`Access-Control-Allow-Credentials: true`標題。
  • 缺少速率限制,需要說明由它引起的可以被利用的漏洞。
  • 註冊、登錄和忘記密碼頁面的用戶電子郵件枚舉。
  • URIs中的可用文件會帶有以`/.well-known`開頭的路徑(也被稱為well-known URIs)。
  • 通過密碼重置繞過2FA
  • 客戶應用的具體問題
    • 未加密存儲的用戶數據
    • 缺乏清晰的闡述
    • 運行時的漏洞攻擊,包括對正在運行的代碼或其環境的控制
  • 開發的重新定向
  • 服務器配置錯誤或規則錯誤
  • 信息洩露或公開,不包括用戶敏感信息
  • 跨資源共享(CORS)問題,服務器會通過`Access-Control-Allow-Credentials: true`標題來響應第三方`Origin`標題的要求(例如,不是`*.todoist.com`、`*.twist.com`)。
  • 顯示的XSS
    • 混合內容問題,如果目標URL沒有響應‘強制安全傳輸技術’(即HSTS)標頭。這會存在風險,但是僅限於每個域/子域的單獨交互(取決於HSTS值)。2021年的時候,瀏覽器已經變成了默認HTTPS,進一步緩解了這個問題。
  • 其他低等級別的問題
  • CSRF / XSRF
  • 導向內部服務器的SSRF
  • 已儲存的XSS
  • 其他中等級別的問題
  • 信息洩露或公開,包括用戶敏感信息
  • 其他高等級別的問題
  • SQL注入
  • 遠程執行代碼
  • 特權升級
  • 認證失敗
  • 導向內部服務器的SSRF,導致嚴重的安全風險
  • 其他嚴重級別的問題
應用危急
Todoist$0$100$200$500$1000
Twist$0$50$100$250$500

在我們Android移動應用上的問題可能能夠獲得一筆額外的獎勵,請查看Google Play Security Rewards Program

所有獎勵會通過Paypal支付。

Doist團隊將保留故障是否有效的決定權。

所有獎勵金額的最終決定權將由Doist故障報告獎勵團隊所有。

聯絡我們

提交一個漏洞