错误赏金计划概述
我们优先考虑用户信任,并遵守最高的隐私和安全标准。因此,我们积极邀请安全专家发现漏洞,并承诺与他们合作,迅速有效地解决问题。Qdrant 重视安全研究社区,并支持负责任地披露我们产品和服务中的漏洞。通过我们的错误赏金计划,我们奖励那些帮助增强我们平台安全性的研究人员。
负责任披露计划规则
- 在报告中包含详细、可重现的步骤。对于无法重现的问题,我们将不予奖励。
- 每个报告提交一个漏洞,除非需要串联多个漏洞来演示影响。
- 在重复报告的情况下,我们只奖励第一个可重现的报告。
- 我们将把源于同一根本原因的漏洞视为一个问题,并只奖励一份赏金。
- 我们严禁社会工程学攻击(例如,网络钓鱼、语音钓鱼、短信钓鱼)。
- 只与您拥有或获得明确访问权限的账户进行交互。请勿使用 Qdrant 员工账户或内部工具进行测试。
- 在运行自动化扫描器之前,请先与我们确认。
范围之内
错误赏金计划涵盖以下领域
- *.cloud.qdrant.io Qdrant 云应用程序
- qdrant.tech 网站
在大多数情况下,我们只奖励以下类型的漏洞
- 任意代码执行和操作系统命令注入
- 存储型跨站脚本(Stored XSS)
- SQL 注入
- 文件上传
- 身份验证绕过和权限提升(身份验证/授权规避)
- 重要的敏感数据泄露
- 服务器端请求伪造(SSRF)
- 关键业务逻辑缺陷
范围之外
我们始终排除以下领域
- 与预期功能或已接受的业务风险相关的发现
- Qdrant 支持系统位于 https://support.qdrant.io
- 第三方应用程序或网站
- 预生产或测试环境
- 社会工程学攻击
- DoS/DDoS 攻击
- 用户/电子邮件枚举
- 暴力破解攻击
- 物理安全问题
- 来自自动化工具或扫描器的报告
- 通用信息泄露,例如
Server或X-Powered-By标头 - 电子邮件安全:DMARC、DKIM、SPF 等
- 可通过限速技术预防的垃圾邮件
- 缺少 DNSSEC
- 登录、注销和注册页面的 CSRF
- 需要完全控制 HTTP 标头(如 Referer、Host 等)的跨站脚本
- 点击劫持和 Tabnabbing
严重程度和奖励
- 我们根据报告漏洞的风险和其他相关因素进行评估;我们的回复可能需要一些时间。
- 我们倾向于对包含详细修复步骤或建议的提交给予更高的奖励。
- 我们根据漏洞的影响、利用的难易程度以及报告的质量等多种因素确定赏金金额。请注意,对于风险极低的问题,我们可能不予奖励。
- 我们使用 CVSS v4 框架评估问题的严重性,并确保一致的风险评估。
- 我们的目标是为类似的漏洞提供可比较的补偿;但是,我们也会考虑发现问题所需的时间和精力等因素。请记住,我们可能不会对未来的报告提供与之前相同的补偿。
披露政策
请通过我们的 错误赏金计划支持门户 联系我们报告漏洞。我们的安全团队将在 5 个工作日内提供初步答复,并在 5-7 个工作日内对问题进行分类。我们根据严重程度调整修复实施时间,并在验证修复后处理赏金支付。
向我们披露漏洞时请遵循以下准则
- 发现任何潜在安全漏洞后立即报告,我们承诺迅速解决问题。
- 对发现的漏洞严格保密。在公开披露任何漏洞之前,请获得 Qdrant 安全团队的明确授权。
- 在进行安全研究时,请谨慎行事,防止数据丢失、隐私泄露或服务中断。
- 将测试限制在您自己的账户或已获得明确许可的账户。立即报告任何意外访问未经授权的数据。
- 安全港:我们支持道德安全研究,并承诺不会对真诚报告漏洞并遵守本披露政策的研究人员提起法律诉讼。确保您的测试是非破坏性的,并遵守概述的准则,以便您符合安全港保护的条件。
联系方式
有关计划或报告安全问题,请联系