漏洞报告项目

LiveAgent希望为大众提供安全可靠的服务,所以数据安全的重要性不言而喻。制定网络漏洞报告项目的目的就是减少安全漏洞对我们的系统和用户产生的影响。LiveAgent的网络漏洞报告项目包括部分由Quality Unit设置的软件。

如果您是数据安全方面的专家,而且发现了我们的系统中的漏洞,希望您能够私下告知我们,让我们有机会在公布技术细节之前解决问题。

如果发现了数据漏洞,LiveAgent会与数据安全专家合力应对。发现漏洞之后,我们首先会证实并给以相应的处理,保证数据和客户隐私的安全。对负责任地向我们报告数据漏洞的人,我们不会对他/她采取法律措施,也不会中断或停止他/她进入网站页面的权利。 LiveAgent对一切违约行为保留权利。

报告

如发现数据漏洞,可通过邮箱地址support@liveagent.com联系LiveAgent开发团队。 如没有明确的批示,请不要在这一程序之外公开相关信息。向我们提供数据漏洞报告时,请尽量详尽说明。如果您希望一次提交多个报告,请先提交一份(最重要的),等候回复再采取其他行动。

报酬

如向我们提供了漏洞报告,保护了用户的安全,我们乐于给予一定的报酬作为回报。通常每提交一次漏洞报告且得到我们的开发团队的证实之后,将给予$50的报酬。

我们仅为首次提供的漏洞报告提供报酬。复制的报告将没有报酬。

报酬奖励范围

您必须是帐户持有人或帐户持有人授权的代理,才能对LiveAgent帐户进行测试。比如:

  • *您的域名*.ladesk.com

以下是能够获得报酬奖励的漏洞类型

  • 远程命令执行(RCE)
  • SQL注入
  • 认证失败
  • 无效的会话管理
  • 准入控制绕道
  • 跨站脚本攻击(XSS)
  • 跨站请求伪造(CSRF)
  • 开放重定向
  • 目录穿越漏洞

如果黑客只能以管理员的身份威胁自己的帐户,这一类报告将不会给予报酬奖励。由管理员开启的跨站脚本攻击(XSS)也不会得到奖励。

要获得奖励,报告的漏洞必须属于近期官方发布的软件内容(包括官方发布的公共测试)。只有数据安全漏洞才符合要求。如果您通过恰当的渠道向我们报告其他类型的漏洞,我们乐于接受,但这个项目的初衷是为了解决安全漏洞问题,所以只有安全相关的漏洞报告才能获得奖励。其他类型的漏洞报告我们会酌情考虑接受。

指南

要符合奖励要求,请遵守以下指南:

  • 不要用就更改或删除LiveAgent托管数据
  • 如无必要,请勿故意查阅LiveAgent非公开数据。
  • 请勿DDoS或扰乱、中断、破坏我们的内外部服务。
  • 不能向第三方透露LiveAgent隐秘信息,包括但不限于用户或支付信息。
  • 社交工程不在范围内。请不要向QualityUnit 工作人员、用户、访客或合作伙伴发送网络钓鱼邮件,也不要针对以上人群使用其它社交工程手段。

另外,对外公开之前请给我们至少90天时间处理系统漏洞问题。我们认为,数据安全专家有权利报告他们的研究结果,带来的好处是不言而喻的,我们还认为,为降低漏洞信息被误用的风险,何时、如何隐瞒信息是一个高度主观的问题。如果您觉得有必要及早报告,请告知我们。

漏洞修复日志

我们会通过 漏洞修复日志向大众公开修复成功的安全问题。有关安全的问题标注为[Security]。

我们的网站使用cookie。我们默认为您允许部署cookie,就如我们的隐私和cookie政策中详细说明的那样.