Skip to content

Programme de Bug Bounty

Nous accueillons la recherche en sécurité responsable. Signalez des vulnérabilités et gagnez des récompenses jusqu'à 2 000 $ pour aider à sécuriser JieGou.

Périmètre

Systèmes dans le périmètre

console.jiegou.ai — Application principale
mcp.jiegou.ai — Serveur MCP
jiegou.ai — Site marketing
Extension Chrome JieGou — Extension de navigateur (Chrome Web Store)

Hors périmètre

  • Services tiers (Firebase, AWS, Stripe, fournisseurs LLM)
  • Attaques d'ingénierie sociale contre les employés de JieGou
  • Attaques par déni de service (DoS/DDoS)
  • Attaques de sécurité physique
  • Scans automatisés sans approbation préalable
  • Tout test susceptible de dégrader la disponibilité du service

Niveaux de récompenses

Critique $500 – $2,000
  • Exécution de code à distance (RCE)
  • Contournement de l'authentification
  • Injection SQL/NoSQL menant à l'accès aux données
  • Escalade de privilèges (Viewer vers Admin/Owner)
  • Accès non autorisé aux données clients entre comptes
Élevé $200 – $500
  • Cross-site scripting (XSS) avec impact démontré
  • Cross-site request forgery (CSRF) sur des actions sensibles
  • Server-side request forgery (SSRF)
  • Références directes d'objets non sécurisées (IDOR) exposant des données sensibles
  • Exposition de clés API ou d'identifiants dans les réponses
Moyen $50 – $200
  • Divulgation d'informations (traces de pile, infos de débogage, IP internes)
  • En-têtes de sécurité manquants avec chemin d'exploitation démontré
  • Fixation de session
  • Prise de contrôle de sous-domaine
Faible Mention
  • En-têtes de bonnes pratiques manquants sans chemin d'exploitation
  • Clickjacking sur des pages non sensibles
  • Messages d'erreur détaillés sans données sensibles
  • Améliorations de configuration SSL/TLS

Règles de participation

  1. 1 N'accédez pas, ne modifiez pas et ne supprimez pas les données clients. Si vous accédez accidentellement à des données clients, arrêtez immédiatement et signalez-le.
  2. 2 N'effectuez pas d'actions susceptibles de dégrader la disponibilité du service (pas de tests de charge, DoS, épuisement des ressources).
  3. 3 Utilisez uniquement des comptes de test dédiés. Créez votre propre compte pour les tests ; ne testez pas sur les comptes d'autres utilisateurs.
  4. 4 Signalez les vulnérabilités rapidement et accordez un délai raisonnable pour la remédiation avant la divulgation publique.
  5. 5 N'utilisez pas de scanners automatisés contre les systèmes de production sans approbation écrite préalable.
  6. 6 Respectez toutes les lois applicables.

Comment signaler

Envoyer les rapports à

security@jiegou.ai

Veuillez inclure

  • Description de la vulnérabilité
  • Instructions de reproduction étape par étape
  • Preuve de concept (captures d'écran, vidéos ou code)
  • Évaluation de l'impact
  • Remédiation suggérée (facultatif)
  • Vos coordonnées pour le suivi

Délais de réponse

1
Accusé de réception
48 heures
2
Triage et évaluation de la sévérité
5 jours ouvrables
3
Remédiation (Critique)
7 jours
4
Remédiation (Élevé)
30 jours
5
Remédiation (Moyen/Faible)
90 jours
6
Paiement de la récompense
30 jours après vérification du correctif

Safe Harbor

JieGou ne poursuivra pas en justice les chercheurs qui :

  • Suivent cette politique et les règles de participation
  • Signalent les vulnérabilités de bonne foi
  • N'exploitent pas les vulnérabilités au-delà de ce qui est nécessaire pour les démontrer
  • N'accèdent pas, ne modifient pas et n'exfiltrent pas les données clients

Ce programme ne constitue pas une relation d'emploi ou de sous-traitance. Les récompenses sont discrétionnaires et déterminées par JieGou en fonction de la sévérité, de l'impact et de la qualité du rapport. JieGou se réserve le droit de modifier ou de mettre fin à ce programme à tout moment.

security@jiegou.ai Retour à Sécurité