我们通过赏金计划来邀请软件安全社区研究和發掘 Matters 平臺上的安全漏洞。如果你想要报告安全漏洞或者有问题询问,请通过 [email protected] 联繫我们。
以下域名与材料属于本计划范畴内:
- *.matters.town
- *.matters.news
- Matters Lab 的公开代码库,包含通过 HTTP 协议及 IPFS 协议传输的网页应用
爲符合该计划资格,你需要展示如何可重複地利用以上域名与材料中的安全漏洞,比如:
- 跨站脚本攻击
- 跨站请求僞造攻击
- 身份验证与权限授予错误
- 官方 API 频率与複杂度限制漏洞
- 服务器端代码或逻辑错误
- 代码注入攻击
- 重要安全配置错误
以下是一些我们认爲不会造成明显威胁、或者需要结构性调整产品逻辑才能解决的议题。我们不将这些议题作爲有效漏洞,但我们仍然希望听到你的建议和评论。
- Self-XSS
- 没有实用攻击场景的 CSRF/CORS 配置漏洞
- 同一个用户註册多个帐号
- 自动化一些用户操作,例如赞赏、评论或者阅读记录
- 使用 Matters API 的第三方工具上的漏洞
- LikeCoin、IPFS 等第三方项目的内部逻辑
- 在修復前不公开漏洞。
- 不去尝试获取其他用户的数据和账户信息。在需要进行跨帐号测试时,使用你自己的测试账户。
- 不进行会影响我们服务和数据可靠性的攻击行爲。
- 在测试中不影响其他用户,包括用不属于你的帐号测试漏洞,否则我们可能会冻结你的帐号并封锁对应的 IP 地址。
- 不使用漏洞扫描软件或者其他自动化探测工具。这些工具会对我们的服务引入大量噪音和额外压力,我们也有可能会冻结你的帐号并封锁对应的 IP 地址。
- 不对我们的员工、用户和基建进行社会工程、钓鱼或者物理层面的攻击。
- 如果有疑问,通过邮件联繫我们。
- 儘快回复你的提交。
- 在修復漏洞的过程中与你保持同步。
- 在你抱着善意参与项目并按照规则行事时不採用法律手段。
- 优先审阅和奖励测试与说明更加完善的漏洞报告
我们将会根据漏洞的严重程度和提交的完善程度自主决定奖金的级别。奖金可以以 LikeCoin(优先考虑) 的形式或者美元的形式送出。
关键的安全漏洞对广大用户或 Matters 平臺本身造成直接和立即的威胁。例如:
- 数据库 SQL 注入
- 绕过用户登录机制控制一名用户的账户
- 接入生产环境中用户敏感资料
- 接入生产环境内部系统,例如基建管理、后臺管理系统
- 获取其他用户的接入密钥
- 从其他用户的钱包裡支付或者提现
重要的安全漏洞允许攻击者读取或者更改未经许可的铭感数据。重要安全漏洞一般而言比关键安全漏洞波及范围更小,但是仍然可以给攻击者打开大量未经许可的权限。例如:
- 向 matters.town 网页中注入攻击者控制的内容或代码(跨站脚本)
- 绕过权限控制获取未经许可的权限
- 在公开资源中發现敏感用户信息
- 接入只应由 Matters 团队接入的非关键资源
中等的安全漏洞允许攻击者读取或者更改部分未经许可的数据。中等安全漏洞一般比重要安全漏洞暴露的数据敏感程度更低或者范围更小。比如:
- 在 Matters 平臺上获取隐藏文章的标题及内容
- 在其他用户的会话中进行敏感操作
- 绕开跨站请求僞造保护进行低风险操作
- 干扰和操控排序与推荐系统
不属于以上定义的安全漏洞,或者週边服务及第三方依赖相关的漏洞。比如:
- 测试功能的误發佈
- 绕开图片上传大小限制或者 API 请求的频率限制
- 没有严重后果的不当错误处理
我们只接受个人开發者与研究者的漏洞提交,而不与漏洞交易商合作。
如果你所居住的国家在美国禁止出口名单中,或者你在美国联邦通缉令或禁止出口名单上,你将无法参与这个计划。
我们保留对漏洞提交的价值和有效性的最终决定权。本项目在未来可能会变更和取消,但变更将不具追溯效力。感谢你和我们一起让 Matters 更加安全!