指南

指南

Yellow Card 漏洞赏金计划

Yellow Card 漏洞赏金计划
Yellow Card 漏洞赏金计划

Yellow Card

Yellow Card

资格要求

若要符合资格,您:

  • 必须同意并遵守本政策中所述的计划规则和法律条款。

  • 必须是第一个报告该问题的人,才有资格获得赏金。

  • 必须能够根据我们团队的需要提供额外的信息,以复现并分类该问题。

如果您属于以下情况,则不符合资格:

  • 是美国已发布出口制裁或其他贸易限制的国家/地区(例如古巴、伊朗、朝鲜、苏丹和叙利亚)的居民,或从这些国家/地区提交申请。

  • 违反任何国家、州或地方法律或法规。

  • 受雇于 Yellow Card Financial。

  • 是 Yellow Card 雇员的直系亲属。

项目规则

  • 请勿蓄意破坏他人对服务的使用体验或服务本身的实用性,包括降低服务质量和拒绝服务攻击。

  • 请勿尝试查看、修改或损坏属于他人的数据。

  • 未经我们明确许可,请勿向他人透露已报告的安全漏洞。

  • 请勿尝试获取对其他客户账户或数据的访问权限。

  • 请勿尝试非技术性攻击,包括任何形式的社会工程学攻击。

如果使用的方法不符合您当地的法律和/或上述计划规则,执法部门将会收到通知。

如果使用的方法不符合您当地的法律和/或上述计划规则,执法部门将会收到通知。

符合条件的攻击目标

国库门户网站(Treasury portal)

测试仅限于未进行身份验证的界面(例如,登录页面、密码重置流程、面向公众的 HTTP 端点以及 TLS/标头配置)。研究人员如果获取或偶然发现任何已验证身份的会话或商业账户数据,必须立即停止测试并进行报告。

我们感兴趣的内容

  • 关于客户数据泄露的主要风险暴露

  • 导致/引起系统完全失陷的问题 

  • 绕过业务逻辑并导致/引起重大财务或声誉影响

  • 绕过身份验证和授权控制
    重大运营故障(不包括与拒绝服务相关的提交)

排除内容

以下漏洞不符合赏金计划的条件:

  • 我们已知的或他人先前已向我们报告的问题

  • 我们已确定属于可接受风险的问题

  • 通过自动化扫描生成的报告

  • 依赖于针对员工、供应商或客户的社会工程学的攻击

  • 网络级拒绝服务(Denial of Service)攻击

  • 钱包拒绝服务(Denial of wallet)攻击

  • 通过锁定用户账户导致的应用拒绝服务

  • 对我们的注册、登录或“忘记密码”页面进行的暴力破解攻击

  • 暴力破解、速率限制或账户锁定的强制执行策略

  • 缺失 HTTP 安全标头

  • Cookie 问题

  • 与 SSL 相关的问题

  • SSL 攻击,例如 BEAST、BREACH、重新协商攻击。

  • 在没有能够证明特定漏洞利用的附加细节的情况下,进行的点击劫持。

  • 邮件配置问题,包括 SPF、DKIM、DMARC 设置。

  • 使用已知存在漏洞的库

  • 不直接影响我们的数据或服务的第三方应用中的漏洞

  • 主要由浏览器/插件缺陷引起、且不能代表 Yellow Card Financial 平台安全缺陷的漏洞

  • 过时的浏览器和插件

  • 描述性的错误消息或标头(例如堆栈跟踪、横幅抓取)

  • 泄露已知的公共文件或目录(例如 robots.txt)

  • 非敏感数据缺少 HTTP Only 或 Secure 设置的 Cookie 

包含与上述排除列表相关问题的提交将不符合奖励条件。

漏洞报告

您的报告准备就绪后,请发送电子邮件至 bugbounty@yellowcard.io

可复现性

请确保您的报告书写清晰,并包含所有必要的信息,以便我们能够快速进行分类和复现该缺陷。

请包括:

  • 您的姓名和联系方式

  • 发现日期和时间

  • URL(如适用)

  • 漏洞类型和描述

  • 复现该问题的详细步骤,包括用于复现的任何概念验证或利用代码

  • 说明该漏洞的屏幕截图和/或视频

合法的报告将收到电子邮件回复确认。我们将尽一切努力快速评估每份报告以确定整体风险,并在认为必要时解决根本原因。

奖励

我们的奖励具有弹性,没有设定最小或最大金额,最终取决于所发现漏洞的严重程度,分类如下:

级别 0

信息

级别 1

级别 2

级别 3

级别 4

严重


请记住:

  • 每个漏洞(包括链式漏洞)仅授予一次赏金

  • 如果针对同一漏洞存在多个报告,只有提交第一份能让我们重现该漏洞的清晰报告的人才会获得奖励。 

  • 凡是忽略了项目指南的情况,Yellow Card 保留拒绝参与者赏金申请的权利,而无需提供额外信息。 

保密性

您通过漏洞赏析计划(Bug Bounty Program)接收或收集的任何信息都必须保密,且仅能用于与该漏洞赏析计划相关的事务。

未经 Yellow Card 事先书面同意,您不得使用、披露或分发任何此类机密信息,包括但不限于有关您提交之内容的任何信息,以及您在研究 Yellow Card 任何业务应用(无论是否在项目范围内)时获得的信息。


安全港协议

Yellow Card Financial 支持善意的安全研究。如果您按照本政策进行安全研究,我们不会对您提起法律诉讼。本安全港协议不适用于在界定范围之外进行的活动,也不适用于违反任何计划规则的研究人员。


违反条款

参与 Yellow Card Financial 的漏洞赏析计划,即表示您同意本政策。

Yellow Card Financial 有权对违反规则的人员采取法律行动。该人员也将被禁止参与未来所有的 Yellow Card 漏洞赏析计划。

我们的季度通讯

注册我们的季度通讯

还没有订阅吗?注册以获取最新的各国金融新闻和数字资产的动态信息,无论何时何地都能及时获取。

我们的季度通讯

注册我们的季度通讯

还没有订阅吗?注册以获取最新的各国金融新闻和数字资产的动态信息,无论何时何地都能及时获取。

我们的季度通讯

注册我们的季度通讯

还没有订阅吗?注册以获取最新的各国金融新闻和数字资产的动态信息,无论何时何地都能及时获取。