您的首個套餐免費!
首次住宅代理消費金額將全額返還至您的錢包餘額,最高可達900美元。
住宅代理
覆蓋全球 190 + 國家 / 地區,擁有 6000 萬 + 真實住宅 IP。
計劃範圍
覆蓋範圍
Thordata 官方網站及控制台:
https://www.thordata.com 及其主要子域(如 https://dashboard.thordata.com)
除上述明確列出的服務外,其他任何關聯服務或內部系統均不屬於測試範圍,且不被授權進行任何形式的安全測試。如你認為某一未列入範圍的系統具有測試價值,請在測試前與我們聯繫確認。
重點關注的漏洞類型:
以下漏洞通常被視為在獎勵範圍內(包括但不限於):
- 跨站腳本攻擊(XSS):反射型、存儲型、DOM 型
- 跨站請求偽造(CSRF / XSRF)
- 身份驗證或授權的缺陷(身份驗證繞過、會話管理問題、對象越權訪問、權限提升)
- 远程代码执行(RCE)(服务器端)
- 任何可能导致客户数据、账户信息数据泄露、篡改或未授权访问的设计或实现缺陷
不在範圍內事項與測試要求:
明確禁止的測試行為:
- 任何形式的拒絕服務攻擊(DoS / DDoS)或可用性破壞測試
- 會產生大量異常流量的自動化掃描、模糊測試或壓力測試工具
- 測試、入侵或影響真實客戶或第三方用戶賬戶(僅限自有測試賬戶)
不授予獎勵的漏洞類型:
- 不產生安全影響的 UI / UX 問題
- 已被清晰報告並確認的問題(以最先有效提交者為準)
- 無法實際利用、缺乏真實安全影響的理論性風險
- 僅存在於已修復舊版本中的漏洞
- 不涉及數據安全、權限控制或系統完整性的普通功能缺陷
授權與安全聲明
在適用法律允許的範圍內:
在遵守本計劃條款、以善意方式開展安全研究,並以不損害用戶與業務為前提的情況下,Thordata 視相關安全研究行為為經授權行為。
- Thordata 不會因符合本計劃的研究行為對研究人員採取法律行動
- 該類研究行為不構成對 Thordata 技術保護措施的非法規避
- 該類研究行為不構成對 Thordata 服務條款或可接受使用政策的違約
研究人員仍需遵守適用的法律法規。測試行為應僅限於使用授權賬戶,禁止訪問、下載或傳播真實用戶數據,一旦發現漏洞或接觸敏感數據,應立即停止並報告,且測試頻率應控制在不影響系統穩定性的範圍內。
如因合規研究行為引發第三方爭議,我們將合理配合說明該行為符合本計劃。
獎勵細則
Thordata 根據漏洞的嚴重性、可利用性及實際影響提供分級現金獎勵,最終獎勵金額由 Thordata 安全團隊評估確定。
低危漏洞
$100 – $300
- 網頁端跨站腳本攻擊(XSS)
- 跨站請求偽造(CSRF)或點擊劫持
- 生產服務器輕微安全配置錯誤
- 上報被濫用的 Thordata 賬戶行為
中危漏洞
$300 – $1,000
- SDK 用戶端遠程代碼執行
- 從生產服務中提取客戶數據
- 暴露客戶身份信息的訪問控制缺陷
- 越權查看或控制其他客戶賬戶的訪問控制問題
高危漏洞
$1,000 – $2,000
- 生產環境遠程代碼執行(RCE)
- 生產環境中的重大身份驗證繞過
獎勵規則與支付條款
- 1.獎勵以美元(USD)和 PayPal 支付,支付將遵守當地法律法規,相關稅務責任由獲獎者自行承擔;
- 2.請在報告中提供有效的支付聯繫方式;
- 3.獎勵需在 2 個月內領取,逾期自動作廢;
- 4.最終獎勵金額由漏洞調查團隊根據漏洞嚴重性與實際影響進行調整,嚴重漏洞可能高於等級上限,低影響漏洞可能低於基礎區間;
- 5.同一漏洞僅獎勵一次,拆分或重複提交不予疊加;
- 6.以下情況不在獎勵範圍內:DoS 攻擊、大量流量測試工具濫用、入侵真實客戶賬戶、優化類Bug等。
報告披露
請將漏洞報告發送至:security@thordata.com
報告應包含:
- 漏洞概述
- 詳細復現步驟
- 實際安全影響
- 修復建議(可選)
- 相關截圖、視頻、文件或雲存儲中上傳文件的鏈接
在 Thordata 完成漏洞修復,或自確認漏洞有效之日起不少於 60 天前,請勿公開披露或傳播漏洞相關細節。
我們通常會在 3–5 個工作日內確認收到報告,並在評估與修復期間保持溝通。
如你對本計劃有任何疑問,或不確定某項研究是否符合本政策,請在測試前通過security@thordata.com 與我們聯繫。
我們也歡迎你對本計劃提出改進建議。