Scope
This policy applies to security researchers conducting security testing and vulnerability research on our systems.
Guidelines for Security Research
- Only test against test accounts you own or have explicit permission to test
- Do not attempt to access, modify, or destroy other users' data
- Do not conduct denial of service testing
- Do not conduct social engineering attacks on our employees
- Do not attempt to access physical locations or devices
Reporting Process
- Submit your findings through our secure reporting channel specified in security.txt
- Include detailed technical information about the vulnerability
- Provide clear steps to reproduce the issue
- Wait for our acknowledgment (typically within 24 hours)
What to Include in Your Report
- Detailed description of the vulnerability
- Step-by-step reproduction steps
- Proof of concept if applicable
- Potential impact assessment
- Suggested mitigation or fix if available
Important!
Do not disclose any vulnerabilities publicly before we have had adequate time to investigate and address them.
Our Commitments
- Acknowledge receipt within 24 hours
- Provide regular updates on the status of your report
- Not take legal action against researchers following these guidelines
- Address verified vulnerabilities in a timely manner
- Credit researchers who wish to be acknowledged
Chính sách Nghiên cứu Bảo mật
Phạm vi
Chính sách này áp dụng cho các nhà nghiên cứu bảo mật thực hiện kiểm tra bảo mật và nghiên cứu lỗ hổng trên hệ thống của chúng tôi.
Hướng dẫn Nghiên cứu Bảo mật
- Chỉ kiểm tra trên tài khoản test mà bạn sở hữu hoặc được phép kiểm tra
- Không cố gắng truy cập, sửa đổi hoặc phá hủy dữ liệu của người dùng khác
- Không thực hiện kiểm tra từ chối dịch vụ (DoS)
- Không thực hiện tấn công kỹ thuật xã hội đối với nhân viên của chúng tôi
- Không cố gắng truy cập vào các địa điểm hoặc thiết bị vật lý
Quy trình Báo cáo
- Gửi phát hiện của bạn qua kênh báo cáo bảo mật được chỉ định trong security.txt
- Bao gồm thông tin kỹ thuật chi tiết về lỗ hổng
- Cung cấp các bước rõ ràng để tái hiện vấn đề
- Chờ xác nhận từ chúng tôi (thường trong vòng 24 giờ)
Những gì Cần có trong Báo cáo
- Mô tả chi tiết về lỗ hổng
- Các bước tái hiện từng bước
- Bằng chứng thực tế nếu có thể
- Đánh giá tác động tiềm ẩn
- Đề xuất biện pháp khắc phục nếu có
Quan trọng!
Không công bố công khai bất kỳ lỗ hổng nào trước khi chúng tôi có đủ thời gian để điều tra và xử lý.
Cam kết của Chúng tôi
- Xác nhận đã nhận trong vòng 24 giờ
- Cập nhật thường xuyên về trạng thái báo cáo của bạn
- Không có hành động pháp lý đối với các nhà nghiên cứu tuân thủ những hướng dẫn này
- Xử lý các lỗ hổng đã xác minh một cách kịp thời
- Ghi nhận công của các nhà nghiên cứu muốn được công nhận