Our mission
Your needs
Standards
Developers
Newsroom
Get involved
About us
Our mission
Your needs
Standards
Developers
Newsroom
Get involved
About us
Developer Portal
Responsible disclosure policy
Last updated 7-2-2024
Introduction
在永利皇宫app下载注册,安全是我们的首要任务. 我们的专家不断优化我们的系统和流程. 尽管我们在系统安全方面付出了努力,但漏洞仍然存在.
你有相关技能吗?你有没有发现我们系统中的漏洞? 请帮忙向我们报告, 这样我们就可以提高我们系统的安全性和可靠性以及我们的成员.
鼓励向永利皇宫app下载注册报告漏洞, 我们强烈要求您将您发现的任何漏洞发送给我们. 任何研究人员谁提供高质量的报告,这将是重要的连续性和可靠性的运输行业 .
Description
负责任的披露表明永利皇宫app下载注册继续致力于改善其安全状况. As part of this process, 我们与安全研究人员密切合作,识别并报告他们在我们系统中发现的漏洞.
Publication
你总是被允许发表你的发现,但总是与永利皇宫app下载注册事先讨论. 我们要确保在发布之前解决问题.
只要发现的漏洞在范围内,永利皇宫app下载注册赞赏安全研究人员在报告其系统漏洞方面所做的努力, 不使用侵入式检测技术即可检测, 并遵循以下披露准则:
Bounties
根据发现的严重程度,我们愿意提供赏金,因为我们是一个非营利组织,这将是有限的.
Rules of Engagement
报告要求用英文书写. 请包括一个明确的攻击场景,概述详细的复制步骤.
请确保在您的调查期间,您不会对我们的系统造成任何损害或中断,所以不要更改, 更改或删除我们系统中的数据. 不要在系统中设置后门, 甚至不是为了显示漏洞,因为插入后门会对我们系统的安全造成更大的损害,并且不会深入系统,除非您的调查需要.
请确保在您的研究过程中,您不会无意中导致数据泄露(例如.e. 在第三方云解决方案上共享截图或录音).
负责任披露的法律法规可能因国家而异. 我们强烈建议你考虑这些规定. 根据当地或国际法,您对我们系统的调查可能被视为犯罪行为,您可能会面临刑事起诉的风险. 如果您在永利皇宫app下载注册的某个系统中发现了漏洞, 请注意,当地法律优先于永利皇宫app下载注册的规定. Nevertheless, 如果你的行为是真诚的,并且遵守永利皇宫app下载注册的规定, 我们不会向当局举报你的行为, unless required to do so by law.
General
如果公司已经从自己的测试或其他报告中知道报告的漏洞, it will be flagged as a duplicate
理论上的安全问题,没有实际的利用场景或攻击面, 或者需要利用复杂的最终用户交互的问题, 可能会被排除在外或降低严重程度
仅限于非当前浏览器(超过3个版本)的漏洞将不被接受
不要利用社会工程来访问我们的系统.
Vulnerabilities detected by
永利皇宫app下载注册员工或供应商不包括在内
Out of Scope for this policy is:
Domains
Domains not owned by 永利皇宫app下载注册
Application
授权前帐户接管/OAuth占用
不能用来利用其他用户的Self-XSS
详细的消息/文件/目录列表,而不泄露任何敏感信息
非敏感端点上的CORS配置错误
Missing cookie flags
Missing security headers
没有或低影响的跨站点请求伪造
在web表单上存在自动完成属性
Reverse tabnabbing
绕过速率限制或不存在速率限制.
违反最佳实践(密码复杂性、过期、重用等).)
没有敏感动作的页面上的点击劫持
CSV Injection
会话未失效(注销、启用2FA等).)
Mixed content type issues
Cross-domain referrer leakage
任何与电子邮件欺骗、SPF、DMARC或DKIM有关的信息
Content injection on error pages
Username/email enumeration
Email bombing
HTTP请求走私没有任何证明的影响
Homography/typosquatting
XMLRPC enabled
横幅抓取/版本披露
在没有伴随的概念验证演示漏洞的情况下开放端口
弱SSL配置和SSL/TLS扫描报告
Not stripping metadata of images
公开API密钥而没有证明有影响
Same-site scripting
没有证实影响的盲SSRF(仅DNS回显是不够的)
泄露和/或配置错误的谷歌API密钥(包括地图)
主机头注入无影响
垃圾邮件,社会工程和物理攻击
DoS/DDoS攻击或暴力破解攻击
在没有概念验证的情况下声明软件过时/易受攻击的报告
需要物理访问受害者的计算机/设备的攻击, 中间人或用户账户受损
环球石材
纵横三国用户系统
北京欢乐水魔方
7789网页游戏平台
当乐iPhone门户
体育投注平台
新葡京娱乐城
皇冠app下载
十大赌博官网
洪泽人才网
足彩外围
济南天气预报
足球博彩平台
电竞博彩平台
乡村基
重庆易车网
欧博体育
买球app
赌博软件
浙江大学远程教育平台
艾菲迪克(Aphidic)延时喷剂
ACDSee 图片软件
刷机网
搜狐女人
SOSG动漫网
试卷下载(页)-12999数学网
帝航润滑油官方网站
曹妃甸人才网
中华手外科网
中州期刊联盟
河源职业技术学院
石头ROM官网
私有云
站点地图