漏洞披露计划
LiveAgent 致力于为所有人保持其服务的安全,数据安全至关重要。我们的漏洞披露计划旨在最小化任何安全缺陷对我们工具或其用户的影响。LiveAgent 的漏洞披露计划涵盖由 Quality Unit 部分或主要编写的软件。
如果您是安全研究人员,并且在该服务中发现了安全漏洞,我们感谢您以私密方式向我们披露,并给我们有机会在发布技术细节之前修复它。
当漏洞按照此处描述的方式报告给我们时,LiveAgent 将与安全研究人员进行沟通。我们将验证、响应和修复漏洞,以支持我们对安全和隐私的承诺。我们不会对那些负责任地发现和报告安全漏洞的人采取法律行动、暂停或终止其对该服务的访问。LiveAgent 在任何不遵守的情况下保留所有法律权利。
报告
请将任何可疑漏洞的详情分享给 LiveAgent 开发团队,邮箱地址为 support@liveagent.com 。请勿在未获得明确许可的情况下在此流程之外公开披露这些详情。
在报告任何可疑漏洞时,请提供尽可能多的信息。如果您想一次提交多份报告,请仅提交一份报告(如果可能,提交最重要的一份),然后等待回复。
补偿
我们很高兴为有助于我们保护客户的漏洞信息提供赏金,感谢选择参与我们漏洞赏金计划的安全研究人员。常规赏金奖励为每个漏洞 100 美元,由我们的开发团队验证。
我们只会奖励漏洞的首位报告者。重复报告将不会获得奖励。
范围
您只能针对您是账户所有者或由账户所有者授权进行此类测试的代理的 LiveAgent 账户进行测试。例如:
- yourdomain.ladesk.com
获奖漏洞类型
我们将为以下类型的漏洞奖励您:
- 远程命令执行 (RCE)
- SQL 注入
- 身份验证破坏
- 会话管理破坏
- 访问控制绕过
- 跨站脚本 (XSS)
- 跨站请求伪造 (CSRF)
- 开放 URL 重定向
- 目录遍历
注意: 仅当攻击者只能用管理员角色威胁自己的账户时的报告将不会获得赏金奖励。管理员引起的 XSS 将不会获得赏金奖励。
为了符合条件,漏洞必须存在于软件的最新公开发布版本(包括官方发布的公开测试版)中。只有安全漏洞才符合条件。我们很乐意人们通过适当的渠道报告其他错误,但由于该计划的目的是修复安全漏洞,只有导致安全漏洞的错误才有资格获得奖励。其他错误将根据我们的酌情权接受。
指南
请遵守以下指南以符合该披露计划下的奖励资格:
- 不要永久修改或删除 LiveAgent 托管的数据。
- 不要有意访问非公开的 LiveAgent 数据,超过演示漏洞所必需的范围。
- 不要进行 DDoS 或以其他方式中断、打断或降低我们的内部或外部服务。
- 不要与任何第三方分享从 LiveAgent 获得的机密信息,包括但不限于成员或捐赠者的支付信息。
- 社会工程学超出范围。不要向任何人(包括 QualityUnit 员工、成员、供应商或合作伙伴)发送网络钓鱼电子邮件或使用其他社会工程学技术。
此外,请在公开讨论或撰写有关漏洞的博客文章之前,至少给我们 90 天的时间来修复该漏洞。我们的团队认为安全研究人员有权报告他们的研究,并且披露是非常有益的,并且理解何时以及如何保留细节以降低漏洞信息被滥用的风险是一个高度主观的问题。如果您认为需要更早披露,请告诉我们,以便我们可以开始对话。
更新日志
我们通过我们的更新日志 公开通知所有已修复的安全问题。与安全相关的问题由标签 [Security] 标记。
