漏洞赏金计划概述
我们优先考虑用户信任,并遵循最高的隐私和安全标准。正因如此,我们积极邀请安全专家识别漏洞,并致力于与他们合作,以便迅速有效地解决问题。Qdrant 重视安全研究社区,支持负责任地披露我们产品和服务中的漏洞。通过我们的漏洞赏金计划,我们奖励帮助提升平台安全性的研究人员。
负责任披露计划规则
- 在您的报告中包含详细、可重现的步骤。对于无法重现的问题,我们不予奖励。
- 每份报告提交一个漏洞,除非您需要链接多个漏洞来证明影响。
- 如果报告重复,我们只奖励第一个可重现的报告。
- 我们将把源于相同根本原因的漏洞视为一个问题,并仅颁发一个赏金。
- 我们严禁社会工程学攻击(例如,网络钓鱼、语音钓鱼、短信钓鱼)。
- 仅与您拥有的或有明确访问权限的账户进行交互。请勿使用 Qdrant 员工账户或内部工具进行测试。
- 在使用自动化扫描工具之前,请先与我们确认。
适用范围
漏洞赏金计划涵盖以下范围
- *.cloud.qdrant.io Qdrant 云应用程序
- qdrant.tech 网站
在大多数情况下,我们只奖励以下类型的漏洞
- 任意代码执行和操作系统命令注入
- 存储型跨站脚本攻击(存储型 XSS)
- SQL 注入
- 文件上传
- 身份验证绕过和权限提升(绕过身份验证/授权)
- 重大敏感数据泄露
- 服务器端请求伪造(SSRF)
- 关键业务逻辑缺陷
不适用范围
我们始终排除以下范围
- 与预期功能或可接受的业务风险相关的发现
- 位于 https://support.qdrant.io 的 Qdrant 支持系统
- 第三方应用程序或网站
- 预生产或测试环境
- 社会工程学攻击
- DoS/DDoS 攻击
- 用户/电子邮件枚举
- 暴力破解攻击
- 物理安全问题
- 来自自动化工具或扫描器的报告
- 一般信息泄露,例如
Server或X-Powered-By头部信息 - 电子邮件安全:DMARC、DKIM、SPF 等
- 可以通过速率限制技术阻止的垃圾邮件
- 缺少 DNSSEC
- 登录、注销和注册页面的 CSRF
- 需要完全控制 HTTP 头部(例如 Referer、Host 等)的跨站脚本攻击
- 点击劫持和 Tabnabbing
严重程度和奖励
- 我们根据报告的漏洞风险及其他相关因素进行评估;我们的响应可能需要一些时间。
- 对于包含详细修复步骤或建议的报告,我们倾向于给予更高的奖励。
- 我们根据多种因素确定赏金金额,包括漏洞的影响、利用的难易程度以及报告的质量。请注意,对于风险非常低的问题,我们可能不予奖励。
- 我们使用 CVSS v4 框架来评估问题的关键程度,并确保风险评估的一致性。
- 我们的目标是为类似漏洞提供相当的补偿;但是,我们也会考虑发现问题所需的时间和精力等因素。请记住,我们可能不会为未来的报告提供与以往相同的补偿。
披露政策
请通过 security@qdrant.com 联系我们报告漏洞。我们的安全团队将在 5 个工作日内提供初步回复,并在 5-7 个工作日内对问题进行分类。我们根据严重程度调整修复实施时间表,并在验证修复后处理赏金支付。
向我们披露漏洞时请遵循以下准则
- 发现任何潜在安全漏洞后请立即报告,因为我们致力于迅速解决问题。
- 对发现的漏洞严格保密。在公开披露任何漏洞之前,请获得 Qdrant 安全团队的明确授权。
- 在进行安全研究时,请谨慎行事,防止数据丢失、隐私泄露或服务中断。
- 测试范围仅限于您自己的账户或已获得明确许可的账户。如不慎访问到未经授权的数据,请立即报告。
- 安全港:我们支持道德安全研究,并承诺不会对善意报告漏洞并遵守本披露政策的研究人员提起法律诉讼。请确保您的测试是非破坏性的,并遵守概述的准则,以便您符合安全港保护条件。
联系方式
如对计划有疑问或报告安全问题,请联系