您的首个套餐免费!
首次住宅代理消费金额将全额返还至您的钱包余额,最高可达900美元。
住宅代理
覆盖全球190+国家/地区,拥有6000万+真实住宅IP。
计划范围
覆盖范围
Thordata 官方网站及控制台:
https://www.thordata.com 及其主要子域(如 https://dashboard.thordata.com)
除上述明确列出的服务外,其他任何关联服务或内部系统均不属于测试范围,且不被授权进行任何形式的安全测试。如您认为某一未列入范围的系统具有测试价值,请在测试前与我们联系确认。
重点关注的漏洞类型:
以下漏洞通常被视为在奖励范围内(包括但不限于):
- 跨站脚本攻击(XSS):反射型、存储型、DOM 型
- 跨站请求伪造(CSRF / XSRF)
- 身份验证或授权缺陷(身份验证绕过、会话管理缺陷、IDOR、权限提升)
- 远程代码执行(RCE)(服务器端)
- 任何可能导致客户数据、账户信息数据泄露、篡改或未授权访问的设计或实现缺陷
不在范围内事项与测试要求:
明确禁止的测试行为:
- 任何形式的拒绝服务攻击(DoS / DDoS)或可用性破坏测试
- 会产生大量异常流量的自动化扫描、模糊测试或压力测试工具
- 测试、入侵或影响真实客户或第三方用户账户(仅限自有测试账户)
不授予奖励的漏洞类型:
- 不产生安全影响的 UI / UX 问题
- 已被清晰报告并确认的问题(以最先有效提交者为准)
- 无法实际利用、缺乏真实安全影响的理论性风险
- 仅存在于已修复旧版本中的漏洞
- 不涉及数据安全、权限控制或系统完整性的普通功能缺陷
授权与安全声明
在适用法律允许的范围内:
在遵守本计划条款、以善意方式开展安全研究,并以不损害用户与业务为前提的情况下,Thordata 视相关安全研究行为为经授权行为。
- Thordata 不会因符合本计划的研究行为对研究人员采取法律行动
- 该类研究行为不构成对 Thordata 技术保护措施的非法规避
- 该类研究行为不构成对 Thordata 服务条款或可接受使用政策的违约
研究人员仍需遵守适用的法律法规。测试行为应仅限于使用授权账户,禁止访问、下载或传播真实用户数据,一旦发现漏洞或接触敏感数据,应立即停止并报告,且测试频率应控制在不影响系统稳定性的范围内。
如因合规研究行为引发第三方争议,我们将合理配合说明该行为符合本计划。
奖励细则
Thordata 根据漏洞的严重性、可利用性及实际影响提供分级现金奖励,最终奖励金额由 Thordata 安全团队评估确定。
低危漏洞
$100 – $300
- 网页端跨站脚本攻击(XSS)
- 跨站请求伪造(CSRF)或点击劫持
- 生产服务器轻微安全配置错误
- 上报被滥用的 Thordata 账户行为
中危漏洞
$300 – $1,000
- SDK 用户端远程代码执行
- 从生产服务中提取客户数据
- 暴露客户身份信息的访问控制缺陷
- 越权查看或控制其他客户账户的访问控制问题
高危漏洞
$1,000 – $2,000
- 生产环境远程代码执行(RCE)
- 生产环境中的重大身份验证绕过
奖励规则与支付条款
- 1.奖励以美元(USD)和paypal支付,支付将遵守当地法律法规,相关税务责任由获奖者自行承担;
- 2.请在报告中提供有效的支付联系方式;
- 3.奖励需在 2 个月内 领取,逾期自动作废;
- 4.最终奖励金额由漏洞调查团队根据漏洞严重性与实际影响进行调整,严重漏洞可能高于等级上限,低影响漏洞可能低于基础区间;
- 5.同一漏洞仅奖励 一次,拆分或重复提交不予叠加;
- 6.以下情况不在奖励范围内:DoS 攻击、大量流量测试工具滥用、入侵真实客户账户、优化类Bug等。
报告披露
请将漏洞报告发送至:security@thordata.com
报告应包含:
- 漏洞概述
- 详细复现步骤
- 实际安全影响
- 修复建议(可选)
- 相关截图、视频、文件或云存储中上传文件的链接
在 Thordata 完成漏洞修复,或自确认漏洞有效之日起不少于 60 天 前,请勿公开披露或传播漏洞相关细节。
我们通常会在 3–5 个工作日 内确认收到报告,并在评估与修复期间保持沟通。
如您对本计划有任何疑问,或不确定某项研究是否符合本政策,请在测试前通过security@thordata.com 与我们联系。
我们也欢迎您对本计划提出改进建议。