作为一家公司,我们相信与道德黑客从业者和安全测试人员合作,可以使我们的产品在技术上更加完善,并且不存在漏洞。2022 年,全球漏洞赏金平台的市场规模为 1.13074 亿美元。到 2028 年,这一数字可能会达到 27.3257 亿美元,年复合增长率为 15.84%。为了使我们的系统与时代趋势保持一致,我们推出了Docsie 漏洞悬赏计划,这样您就可以帮助我们发现漏洞并加以修复。漏洞赏金计划将考虑漏洞类型和漏洞修复情况,并为维护我们产品安全的安全研究人员提供奖励。有了您的帮助,我们就能使 Docsie 的安全性更稳健、更强大!
Docsie 漏洞悬赏计划
人非圣贤,孰能无过?发现错误并加以修正是 Docsie的目标!
Docsie 的安全问题很难对付,但随着复杂技术的不断涌现,我们确实意识到发现高危漏洞的重要性。因此,本计划正式呼吁所有道德黑客 实践者和漏洞修复 专家前来加入我们的行列,一起识别 系统和产品中仍然存在的漏洞类型。如果您希望参与本漏洞悬赏计划,请务必仔细阅读并理解我们的条款和条件。
一般和测试要求
Docsie重视安全问题,并将其视为公司与安全研究人员专家社区成功合作的结果。通过 Docsie 漏洞赏金计划,我们旨在通过减少所有类型的漏洞,使我们的技术产品更加安全。作为道德黑客的坚定支持者,我们鼓励所有参与者遵守以下要求,以便我们考虑将其漏洞修复作为安全研究人员的奖励。
| 步骤 | 要求 |
|---|---|
| #1 | 将您提交的资料与 CVSS 分数和可行的概念验证 (POC) 一同分享给我们。这将有助于我们了解该问题在 Docsie 安全框架内的影响和重要性。 |
| #2]当您发现我们系统中的漏洞时,请截取清晰的截图,以简明扼要的形式说明问题。 | |
| #3]列出您针对相关问题的独特补救建议和指南。 | |
| #4]确保您提交的信息是独一无二的、非抄袭的,并与漏洞悬赏计划的漏洞相一致。 | |
 |
测试要求指南
在 Docsie,用户的安全和便利是最重要的。因此,作为我们漏洞赏金计划的参与者,请确保您遵守以下条件。
不要使用扫描仪测试漏洞类型。要获得安全研究人员奖励的资格,请勿使用自动扫描,因为它们有可能损害我们的服务。
在 Docsie 安全上进行测试 仅在 https://app.docsie.io URL 上进行测试。我们的官方 URL 是我们整体基础设施不可分割的一部分。
避免在周末进行测试。即使您遵循黑客道德的最佳实践,在周末进行测试也会改变我们服务的稳定性,给我们的用户带来困难。
请确保您的所有测试工作都不会受到社交工程攻击。请遵守提交审核流程的指导原则,不要执行任何与诱饵、网络钓鱼、尾随或借口相关的任务。
注意事项
根据开放式错误悬赏规则, 与下列领域相关的漏洞将不包括在 Docsie 错误悬赏计划的侵入式测试中:
-
跨站请求伪造 (CSRF)
-
跨站脚本 (XSS)
-
访问控制不当
-
开放重定向
尽管我们对发现漏洞类型很感兴趣,并认识到通过道德黑客手段修复漏洞的价值,但我们不允许任何可能侵入我们系统、流程或产品的侵入性测试。漏洞悬赏计划的目的是在不使用第三方漏洞扫描仪或自动化工具的情况下发现并报告漏洞。Docsie 安全重视系统的稳定性和合规性,因此,我们不会向安全研究人员提供任何可能对我们的网站、其基础设施或数据构成威胁的漏洞的奖励。
奖励和回报
在 Docsie,我们珍视每一位参与 Docsie 漏洞赏金计划的人的奉献、努力和诚意,以解决隐藏在我们产品中的漏洞类型。因此,在成功验证并修复漏洞后,Docsie 将根据所发现问题的严重性和影响程度提供现金奖励,奖励金额从 ** 美元到 500 美元不等。请注意,在任何情况下,只有参与者遵守道德黑客的最佳实践并遵守本活动的条款和条件,我们才会为安全研究人员提供奖励。
最后的话
Docsie对漏洞悬赏计划中的非法活动采取零容忍政策。我们的目标是通过提供有效的漏洞修复来加强 Docsie 的安全性。因此,我们鼓励所有参与者在确保高标准安全测试的同时,尊重他人并保持礼貌。我们只接受真诚提交的信息,并将在彻底审查所有提交的信息后向安全研究人员提供奖励。还等什么?立即参与 Docsie 漏洞悬赏计划,帮助我们构建安全可靠的产品和系统。您的经验、专业知识和警惕性将帮助我们确保为所有用户提供更好、更安全的技术。