安全 · 负责任披露
安全漏洞披露
我们重视系统与用户数据安全。如果您发现了安全漏洞,欢迎通过本页负责任地向我们披露(支持匿名)。我们承诺及时核实、修复并反馈。
受理范围(欢迎上报)
- ·认证 / 授权绕过、越权访问他人数据(IDOR)
- ·注入类(SQL/命令/模板注入)、跨站脚本(XSS)、CSRF/SSRF
- ·敏感信息泄露、不当的数据暴露
- ·业务逻辑漏洞(如金额 / 库存 / 订单状态可被非预期操纵)
- ·密码学误用、配置错误导致的安全风险
处理流程
- 1.您提交报告后,我们会尽快确认收到。
- 2.我们核实并评估影响范围,必要时与您沟通细节。
- 3.确认后我们会安排修复,并在修复完成后告知您(如您留了联系方式)。
- 4.我们感谢每一位负责任披露的研究者,重大问题会致谢(征得同意后)。
通常不在范围(请勿提交)
- ·无实际安全影响的最佳实践建议(如缺失某响应头但无可利用面)
- ·需要受害者执行非常规操作 / 已离职设备等不现实前提的问题
- ·对生产环境的拒绝服务(DoS)/ 暴力破解 / 自动化大规模扫描攻击
- ·社会工程、钓鱼、物理入侵
安全港承诺(Safe Harbor)
只要您出于善意研究、不泄露 / 不滥用 / 不破坏数据、不影响其他用户、并在合理时间内通过本页私下披露,我们承诺不会就您的研究行为追究法律责任。请勿访问超出验证漏洞所必需的数据,发现即停止并上报。
也可邮件联系: security@zhongkuaiyun.com · security.txt