Chương Trình Phần Thưởng Lỗi Bảo Mật Thordata

Gói Đầu Tiên Của Bạn Miễn Phí!

Trả lại 100% giá trị mua proxy dân cư lần đầu tiên vào số dư ví, tối đa 900 đô la.

bắt đầu



Data for AI

Việt Nam

Đăng nhập Dùng thử miễn phí

Phạm Vi Chương Trình

Trong Phạm Vi

Trang web và bảng điều khiển Thordata:

https://www.thordata.com và các trang của nó (ví dụ: https://dashboard.thordata.com)

Bất kỳ dịch vụ, hệ thống hoặc cơ sở hạ tầng nào không được liệt kê rõ ràng ở trên — bao gồm cả các dịch vụ nội bộ hoặc liên quan — đều nằm ngoài phạm vi chương trình và không được phép thực hiện kiểm thử an ninh.

Nếu bạn tin rằng một hệ thống không được liệt kê có giá trị để kiểm thử, vui lòng liên hệ với chúng tôi trước khi thực hiện bất kỳ kiểm thử nào để xác nhận.

Các Loại Lỗ Hổng Đủ Điều Kiện Nhận Thưởng

Các loại lỗ hổng sau nằm trong phạm vi nhận thưởng, bao gồm nhưng không giới hạn ở:

Cross-Site Scripting (XSS): phản xạ, lưu trữ và dựa trên DOM
Cross-Site Request Forgery (CSRF / XSRF)
Lỗi xác thực hoặc ủy quyền (bỏ qua xác thực, vấn đề quản lý phiên, truy cập trái phép đối tượng, nâng cấp quyền)
Thực thi mã từ xa (RCE) trên máy chủ sản xuất
Bất kỳ lỗi thiết kế hoặc triển khai nào có thể dẫn đến rò rỉ, sửa đổi hoặc truy cập không được ủy quyền vào dữ liệu khách hàng hoặc thông tin tài khoản

Ngoài Phạm Vi

Các hoạt động kiểm thử bị cấm:

Bất kỳ hình thức tấn công từ chối dịch vụ (DoS / DDoS) hoặc kiểm thử phá hủy nào
Công cụ quét tự động, fuzzing hoặc kiểm thử áp lực tạo ra lưu lượng truy cập quá mức hoặc bất thường
Kiểm thử, truy cập hoặc ảnh hưởng đến tài khoản khách hàng thực tế hoặc người dùng bên thứ ba (chỉ cho phép tài khoản kiểm thử tự sở hữu hoặc được ủy quyền rõ ràng)

Các lỗ hổng không đủ điều kiện nhận thưởng:

Vấn đề giao diện người dùng/trải nghiệm người dùng (UI/UX) không ảnh hưởng đến an ninh
Vấn đề đã được báo cáo và xác nhận rõ ràng (thưởng chỉ được trao cho người báo cáo hợp lệ đầu tiên)
Vấn đề chỉ tồn tại trên lý thuyết hoặc không thể khai thác, không có ảnh hưởng an ninh thực tế
Các lỗ hổng chỉ tồn tại trong các phiên bản đã sửa chữa hoặc đã ngừng sử dụng
Lỗi chức năng không liên quan đến an ninh dữ liệu, kiểm soát truy cập hoặc tính toàn vẹn hệ thống

Quyền ủy Quyền Và Vùng An Toàn

Thordata coi các hoạt động nghiên cứu an ninh thực hiện với thiện chí, tuân thủ chương trình này và không gây hại cho người dùng hoặc hoạt động kinh doanh là được ủy quyền.

Trong phạm vi pháp luật cho phép:

Thordata sẽ không khởi kiện các nhà nghiên cứu về các hoạt động thực hiện theo chương trình này.
Các hoạt động như vậy sẽ không được coi là hành vi vượt qua các biện pháp bảo vệ kỹ thuật của Thordata một cách trái phép
Các hoạt động như vậy sẽ không được coi là vi phạm Điều khoản Dịch vụ hoặc Chính sách Sử dụng Được Chấp nhận của Thordata.

Các nhà nghiên cứu phải tuân thủ các luật và quy định hiện hành. Kiểm thử chỉ được thực hiện với các tài khoản được ủy quyền, không được truy cập, tải xuống hoặc phổ biến dữ liệu người dùng thực tế. Ngừng và báo cáo ngay lập tức khi phát hiện lỗ hổng hoặc dữ liệu nhạy cảm, và đảm bảo tần suất kiểm thử không ảnh hưởng đến sự ổn định của hệ thống.

Nếu các hoạt động nghiên cứu tuân thủ pháp luật gây ra tranh chấp bên thứ ba, Thordata sẽ hỗ trợ hợp lý để làm rõ rằng nghiên cứu đã được thực hiện dưới chương trình này.

Quy Tắc Đổi Thưởng

Thordata cung cấp phần thưởng tiền mặt theo cấp độ dựa trên mức độ nghiêm trọng, khả năng khai thác và tác động thực tế của các lỗ hổng được báo cáo. Số tiền thưởng cuối cùng được xác định bởi Đội An Ninh Thordata.

Mức Nghiêm Trọng Thấp

$100 – $300

Cross-Site Scripting (XSS) dựa trên Web
Cross-Site Request Forgery (CSRF) hoặc clickjacking
Cấu hình an ninh sai nhỏ trên máy chủ sản xuất
Báo cáo về việc sử dụng sai hoặc lạm dụng tài khoản Thordata

Mức Nghiêm Trọng Trung Bình

$300 – $1000

Thực thi mã từ xa ảnh hưởng đến người dùng SDK
Trích xuất dữ liệu khách hàng từ dịch vụ sản xuất
Vấn đề kiểm soát truy cập làm lộ thông tin nhận dạng cá nhân
Truy cập hoặc kiểm soát tài khoản khách hàng khác mà không được ủy quyền

Mức Nghiêm Trọng Cao

$1,000 – $2,000

Thực thi mã từ xa (RCE) trong môi trường sản xuất
Bỏ qua xác thực nghiêm trọng trong môi trường sản xuất

Quy Tắc Đổi Thưởng Và Điều Khoản Thanh Toán

1.Các phần thưởng được thanh toán bằng USD và qua PayPal. Thanh toán phải tuân thủ các luật và quy định địa phương hiện hành, và nghĩa vụ thuế là trách nhiệm của người nhận thưởng;
2.Vui lòng bao gồm các phương thức thanh toán hợp lệ trong báo cáo của bạn;
3.Phần thưởng phải được nhận trong vòng 2 tháng; phần thưởng không được nhận sẽ hết hạn;
4.Số tiền thưởng cuối cùng có thể được điều chỉnh dựa trên tác động thực tế (các trường hợp nghiêm trọng có thể vượt quá giới hạn cấp độ; các trường hợp tác động thấp có thể nhận thưởng giảm);
5.Mỗi lỗ hổng chỉ được thưởng một lần; các bản gửi trùng lặp hoặc chia nhỏ không đủ điều kiện nhận thưởng bổ sung;
6.Các trường hợp sau không đủ điều kiện nhận thưởng: tấn công từ chối dịch vụ (DoS), lạm dụng công cụ kiểm thử lưu lượng cao, xâm phạm tài khoản khách hàng thực tế, đề xuất tối ưu hóa hoặc lỗi không liên quan đến an ninh.

Báo Cáo Và Phổ Biến

Vui lòng gửi báo cáo lỗ hổng đến: security@thordata.com

Báo cáo phải bao gồm:

Tóm tắt lỗ hổng
Các bước tái tạo chi tiết
Tác động an ninh thực tế
Đề xuất khắc phục (tùy chọn)
Các hình ảnh chụp màn hình, video, tệp hoặc liên kết đến các tài liệu đã tải lên liên quan

Đừng phổ biến hoặc chia sẻ chi tiết lỗ hổng công khai cho đến ít nhất 60 ngày sau khi lỗ hổng được xác nhận hoặc hoàn toàn khắc phục bởi Thordata.

Chúng tôi thường xác nhận nhận báo cáo trong vòng 3–5 ngày làm việc và sẽ duy trì liên lạc trong suốt quá trình đánh giá và khắc phục.

Nếu bạn có bất kỳ câu hỏi nào về chương trình này hoặc liệu một hoạt động nghiên cứu có nằm trong phạm vi hay không, vui lòng liên hệ với chúng tôi qua security@thordata.com trước khi kiểm thử.
Chúng tôi cũng hoan nghênh các đề xuất để cải thiện chương trình này.

Gửi Báo Cáo Lỗ Hổng

Chat with usLiveChat

Chương Trình Đổi Thưởng Lỗ Hổng An Ninh Thordata