漏洞赏金计划
我们欢迎负责任的安全研究。报告漏洞可获得最高 $2,000 的奖励,帮助确保 JieGou 的安全。
范围
范围内系统
console.jiegou.ai — 主应用程序
mcp.jiegou.ai — MCP 服务器
jiegou.ai — 营销网站
JieGou Chrome 扩展程序 — 浏览器扩展程序(Chrome Web Store)
范围外
- 第三方服务(Firebase、AWS、Stripe、LLM 提供商)
- 针对 JieGou 员工的社会工程攻击
- 拒绝服务(DoS/DDoS)攻击
- 物理安全攻击
- 未经事先批准的自动扫描
- 任何可能降低服务可用性的测试
奖励等级
严重 $500 – $2,000
- 远程代码执行(RCE)
- 身份验证绕过
- 导致数据访问的 SQL/NoSQL 注入
- 权限提升(Viewer 到 Admin/Owner)
- 跨账户未授权访问客户数据
高 $200 – $500
- 具有影响证明的跨站脚本(XSS)
- 敏感操作的跨站请求伪造(CSRF)
- 服务器端请求伪造(SSRF)
- 暴露敏感数据的不安全直接对象引用(IDOR)
- 响应中的 API 密钥或凭证暴露
中 $50 – $200
- 信息泄露(堆栈跟踪、调试信息、内部 IP)
- 具有利用路径的安全标头缺失
- 会话固定
- 子域名接管
低 致谢
- 无利用路径的最佳实践标头缺失
- 非敏感页面的点击劫持
- 不含敏感数据的详细错误消息
- SSL/TLS 配置改进
参与规则
- 1 不得访问、修改或删除客户数据。如果意外访问了客户数据,请立即停止并报告。
- 2 不得执行可能降低服务可用性的操作(禁止负载测试、DoS、资源耗尽)。
- 3 仅使用专用测试账户。创建自己的账户进行测试;不得针对其他用户的账户进行测试。
- 4 及时报告漏洞,并在公开披露前给予合理的修复时间。
- 5 未经事先书面批准,不得对生产系统使用自动扫描器。
- 6 遵守所有适用法律。
如何报告
响应时间表
1
确认收到
48 小时 2
分类和严重性评估
5 个工作日 3
修复(严重)
7 天 4
修复(高)
30 天 5
修复(中/低)
90 天 6
奖励发放
修复验证后 30 天 安全港
JieGou 不会对以下研究人员采取法律行动:
- 遵守本政策和参与规则
- 善意报告漏洞
- 不会超出证明漏洞所需范围利用漏洞
- 不会访问、修改或窃取客户数据
本计划不构成雇佣或承包关系。奖励由 JieGou 根据严重性、影响和报告质量自行决定。JieGou 保留随时修改或终止本计划的权利。