CyberLand Messenger 拥有一支由追求卓越和价值创新的极客和黑客组成的技术团队,旨在影响和改变世界。
基于网络安全攻防、人工智能和区块链技术,我们设计开发了具有高安全级别的新一代通信平台。使用 CyberLand Messenger平台发送和接收的每条通信消息均基于端到端加密,任何第三方都无法解密消息内容。我们将始终如一的致力于隐私保护和通信互联,努力构建可靠、安全的万物互联。
CyberLand Messenger 期待与安全部门机构合作寻找安全漏洞,以确保我们的企业和客户的安全。
响应目标
CyberLand Messenger 将尽最大努力为参与我们计划的黑客达到以下响应目标:
· 第一次回复的时间(从报告提交开始)——3 个工作日
· 分类时间(从提交报告开始)——5 个工作日
· 赏金时间(从分类开始)——10 个工作日
我们会尽力让您了解我们在整个过程中的进展。
范围
请参考我们的In-Scope 部分中的资产,其中包括我们的网站、iOS 应用程序和 Android 应用程序等。结构化范围列表中的资产只是您测试的指南。范围包括但不限于这些。但是,请注意钱包功能不在范围内。
· 请不要在程序之外讨论任何漏洞(即使是已解决的漏洞)。CyberLand Messenger 目前不支持公开披露。
· 遵循 HackerOne的披露指南。
节目规则
· 执行任何高风险操作时要小心。如果您的测试可能会影响应用程序的稳定性、可用性或完整性,请仅提供概念证明,如果我们要求您更进一步,我们将明确授权这样做。
· 您可以自由注册自己的测试帐户,但请将您的测试限制在您控制的帐户上。
· 真诚努力避免侵犯隐私、破坏数据以及我们的服务中断或降级。仅与您拥有的帐户或在帐户持有人的明确许可下进行交互。
· 请提供具有可重现步骤的详细报告。如果报告不够详细以重现问题,则该问题将没有资格获得奖励。
· 每份报告提交一个漏洞,除非您需要链接漏洞以提供影响。
· 当出现重复时,我们只奖励收到的第一份报告(前提是它可以完全复制)。
· 由一个潜在问题引起的多个漏洞将获得一笔奖金。
· 禁止社会工程(例如网络钓鱼、网络钓鱼、网络钓鱼)。
· 不要对目标进行大规模扫描。
· 不要执行任何类型的 DoS 或 DDoS 攻击。
· 如果您碰巧发现了一个关键问题,请不要利用该漏洞进行更深入的研究(例如,不要使用 SQLi 或 RCE 来泄露数据等)。
超出范围的漏洞
报告漏洞时,请考虑 (1) 攻击场景/可利用性,以及 (2) 漏洞的安全影响。以下问题被视为超出范围:
· 自XSS
· 基于Flash的XSS
·跨源资源共享(CORS)
· 电子邮件欺骗
· 会话固定
· 内容欺骗
· 缺少 cookie 标志
· SSL/TLS 配置中的最佳实践/问题。
· HTML内容注入
· 混合内容警告
· 点击劫持/用户界面修复
· 物理或社会工程攻击
· 反射文件下载攻击(RFD)
· 回车换行注入(CRLF)
· 登录/注销/未验证/低影响 CSRF
· 自动化工具或扫描仪的未经验证的结果
· 非电子邮件域/子域中没有 SPF/DMARC
· 需要 MITM 或物理访问用户设备的攻击
· 与网络协议或行业标准相关的问题
· 影响过时浏览器或平台用户的漏洞
· 不能用于直接攻击的错误信息泄露
· 缺少不会直接导致漏洞的与安全相关的 HTTP 标头
避风港
以符合本政策的方式进行的任何活动都将被视为授权行为,我们不会对您提起法律诉讼。如果第三方就根据本政策开展的活动对您提起法律诉讼,我们将采取措施让大家知道您的行为是按照本政策进行的。感谢您帮助保护 CyberLand Messenger 和我们的用户安全!CyberLand Messenger 致力于极其谨慎地处理我们客户的数据。作为其中的一部分,我们鼓励安全研究人员对我们的安全性进行测试。我们期待在添加新功能和服务时继续与社区合作。如果您发现CyberLand Messenger的产品或服务存在漏洞,欢迎您提交漏洞报告。
范围
CyberLand Messenger 的所有资产都在范围内。资产包括网站、iOS 应用程序、Android 应用程序等。结构化范围列表中的资产只是您测试的指南。范围包括但不限于这些。但是,请注意钱包功能不在范围内。披露政策
· 请不要在程序之外讨论任何漏洞(即使是已解决的漏洞)。
· 遵循 HackerOne 的披露指南。
节目规则
· 执行任何高风险操作时要小心。如果您的测试可能会影响应用程序的稳定性、可用性或完整性,请仅提供概念证明,如果我们要求您更进一步,我们将明确授权这样做。
· 您可以自由注册自己的测试帐户,但请将您的测试限制在您控制的帐户上。
· 真诚努力避免侵犯隐私、破坏数据以及我们的服务中断或降级。仅与您拥有的帐户或在帐户持有人的明确许可下进行交互。
· 禁止社会工程(例如网络钓鱼、网络钓鱼、网络钓鱼)。
· 不要对目标进行大规模扫描。
· 不要执行任何类型的 DoS 或 DDoS 攻击。
· 如果您碰巧发现了一个关键问题,请不要利用该漏洞进行更深入的研究(例如,不要使用 SQLi 或 RCE 来泄露数据等)。
排除
明确排除以下结果类型:
· CORS
· 自XSS
· 电子邮件欺骗
· 会话固定
· 基于Flash的XSS
· 内容欺骗
· 缺少 cookie 标志
· 最佳实践/问题
· HTML内容注入
· 混合内容警告
· 点击劫持/用户界面修复
· 物理或社会工程攻击
· 反射文件下载攻击(RFD)
· 回车换行注入(CRLF)
· 登录/注销/未验证/低影响 CSRF
· 自动化工具或扫描仪的未经验证的结果
· 非电子邮件域/子域中没有 SPF/DMARC
· 需要 MITM 或物理访问用户设备的攻击
· 与网络协议或行业标准相关的问题
· 影响过时浏览器或平台用户的漏洞
· 不能用于直接攻击的错误信息泄露
· 缺少不会直接导致漏洞的与安全相关的 HTTP 标头
CyberLand Messenger 为通信自由而生!