漏洞賞金計畫
我們歡迎負責任的安全研究。回報漏洞可獲得最高 $2,000 的獎勵,協助確保 JieGou 的安全。
範圍
範圍內系統
console.jiegou.ai — 主應用程式
mcp.jiegou.ai — MCP 伺服器
jiegou.ai — 行銷網站
JieGou Chrome 擴充功能 — 瀏覽器擴充功能(Chrome Web Store)
範圍外
- 第三方服務(Firebase、AWS、Stripe、LLM 提供商)
- 針對 JieGou 員工的社交工程攻擊
- 阻斷服務(DoS/DDoS)攻擊
- 物理安全攻擊
- 未經事先核准的自動掃描
- 任何可能降低服務可用性的測試
獎勵等級
嚴重 $500 – $2,000
- 遠端程式碼執行(RCE)
- 身份驗證繞過
- 導致資料存取的 SQL/NoSQL 注入
- 權限提升(Viewer 到 Admin/Owner)
- 跨帳戶未授權存取客戶資料
高 $200 – $500
- 具有影響證明的跨站腳本(XSS)
- 敏感操作的跨站請求偽造(CSRF)
- 伺服器端請求偽造(SSRF)
- 暴露敏感資料的不安全直接物件引用(IDOR)
- 回應中的 API 金鑰或憑證暴露
中 $50 – $200
- 資訊洩露(堆疊追蹤、除錯資訊、內部 IP)
- 具有利用路徑的安全標頭缺失
- 會話固定
- 子網域接管
低 致謝
- 無利用路徑的最佳實踐標頭缺失
- 非敏感頁面的點擊劫持
- 不含敏感資料的詳細錯誤訊息
- SSL/TLS 設定改進
參與規則
- 1 不得存取、修改或刪除客戶資料。如果意外存取了客戶資料,請立即停止並回報。
- 2 不得執行可能降低服務可用性的操作(禁止負載測試、DoS、資源耗盡)。
- 3 僅使用專用測試帳戶。建立自己的帳戶進行測試;不得針對其他使用者的帳戶進行測試。
- 4 及時回報漏洞,並在公開揭露前給予合理的修復時間。
- 5 未經事先書面核准,不得對生產系統使用自動掃描器。
- 6 遵守所有適用法律。
如何回報
回應時程
1
確認收到
48 小時 2
分類和嚴重性評估
5 個工作日 3
修復(嚴重)
7 天 4
修復(高)
30 天 5
修復(中/低)
90 天 6
獎勵發放
修復驗證後 30 天 安全港
JieGou 不會對以下研究人員採取法律行動:
- 遵守本政策和參與規則
- 善意回報漏洞
- 不會超出證明漏洞所需範圍利用漏洞
- 不會存取、修改或竊取客戶資料
本計畫不構成僱傭或承包關係。獎勵由 JieGou 根據嚴重性、影響和報告品質自行決定。JieGou 保留隨時修改或終止本計畫的權利。