支援 付款方式 聯盟計畫
客戶區域

回報漏洞 — 協助我們保障服務的安全性

如果您發現我們的應用程式、系統或資產中存在潛在漏洞,請透過下方 HackerOne 表格提交您的發現以回報。 您的貢獻有助於我們維持最高等級的安全性,並保護我們的使用者。 感謝您的支持!

在回報前,請先查看完整的漏洞揭露政策

提醒您,is*hosting 不會進行公開的漏洞賞金計畫;關於透過此揭露計畫提交潛在問題,我們也不會提供任何獎勵或補償。

和 HackerOne 合作的漏洞揭露計畫

is*hosting 十分重視對安全社群付出的努力,這能協助我們維護我們產品和服務的最高安全標準。 此漏洞揭露計畫 (VDP) 將邀請研究人員查出可能損害我們系統完整性、可用性或機密性的漏洞。 我們致力於和社群合作,及時解決發現到的問題。

揭露政策

  • 由於這是一個私人計畫,未經本組織明確同意,請勿在計畫外討論此計畫或任何漏洞(即使是已解決的漏洞)。
  • 遵循 HackerOne 的 揭露指南

計畫規則

您加入本計畫,即代表您同意遵循 is*hosting 使用 條款is*hosting 隱私權政策,以及所有適用之法規及規定,包括任何管理資料隱私或合法處理資料之法規及規定。

  • 請提供可重現步驟的詳細報告,包括螢幕截圖、程式碼片段和環境詳細資訊。 若報告不夠詳細因而無法重現問題,則可能無法被標為已分級。
  • 每份報告可提交一個漏洞。 若串聯漏洞來證明影響,請在單一報告中清楚說明相互依存性和整體影響。
  • 當出現重複時,我們僅會對第一份收到的報告進行分級,該報告可以完整重現。
  • 由一個潛在問題導致的多個漏洞將合併成一份報告,並作為單一提交處理。
  • 嚴禁進行社交工程攻擊(例如,網路釣魚、語音釣魚、簡訊網路釣魚),違者將被取消資格。
  • 盡力避免侵犯隱私、破壞資料,中斷我們的服務或降級。 僅和您擁有的帳戶或具明確使用權限的帳戶互動。 嚴禁未經授權存取任何帳戶或資料。
  • 使用包括您 HackerOne 註冊電子郵件地址「[email protected]」的特定識別碼,協助我們識別您的流量。
  • 非由我方管理的第三方資產,其安全性問題不在我們的處理範圍之內。 透過驗證網域註冊和 DNS 紀錄,確認您的目標網域屬於我們。
  • 未經明確許可,禁止使用自動掃描器和工具(如 Nessus、Burp Suite)。

會議層:HTTP 標頭

研究人員應在請求中新增下列標頭:

  • 「X-HackerOne-Research: [H1 username]」

測試方案

若要存取我們的測試環境,請依下列步驟操作:

  1. 使用您的 HackerOne 備用電子郵件信箱(以 @wearehackerone.com 結尾)在 https://my.ishosting.com 註冊
  2. 使用已驗證的備用電子郵件信箱登入後,前往 https://my.ishosting.com/zh-hk/hackerone
  3. 您可以出於研究目的在此頁面申請自動餘額儲值,啟動您測試所需的服務。

重要提醒:

  • 請勿修改您的備用電子郵件信箱(例如,在後方加上「+something」),因為只有原本備用信箱(如 [email protected])的餘額儲值請求才會被接受。
  • 此餘額嚴限於在漏洞揭露計畫 (VDP) 範圍內進行測試。

濫用獎勵制度

為測試目的提供之餘額儲值嚴限於漏洞揭露計畫 (VDP) 範圍內使用,並會受到嚴格監控。

  • 將分配的資金用於與 VDP 無關之用途,將導致帳戶停權、餘額清除,並被取消計畫參與資格。
  • 違者也可能被舉報至 HackerOne,這可能會影響其在該平台上的信譽。

單一帳戶政策

參與者不得建立多個帳戶以獲得額外餘額儲值或其他福利。

  • 若被發現帳戶重複,所有相關帳戶將被停權、帳戶餘額被撤銷,且參與者將被取消計畫參與資格。
  • 必要時我們將採取進一步行動,包括向 HackerOne 舉報。

測試資源

範圍

此計畫的範圍包括與我們主要平台相關的所有資產和應用程式。 研究人員應確保在不同市場測試各種功能,以獲得全面的了解。 具體環境和資產概述如下。

下列 is*hosting 網域在範圍內:

範圍外的網域:

主要的不合格漏洞回報

回報潛在漏洞時,請考量 (1) 現實的攻擊情境,以及 (2) 該行為的安全影響。 您可以在下方查看我們遇到的最常見的誤報。 除了極少數能證明存在明顯安全影響的情況,下列問題將被視為無效並關閉:

安全港

計畫條款的變更

漏洞揭露計畫 (VDP) 及其政策可能隨時由 is*hosting 變更或終止,且恕不另行通知。 因此,is*hosting 隨時可發布修訂版本來變更這些計畫條款和/或其政策。 修改發布這類之後,您繼續參與 VDP 計畫即代表您接受修改後的計畫條款。

結語

感謝您協助維護 is*hosting 和我們使用者的安全!

對於安全社群協助我們保護使用者和系統所做的貢獻,我們十分感謝。 感謝您遵循本政策以及付出的努力,從而維護我們平台的安全性。