Airwallex致力于与信息安全社区建立牢固的关系。为了奖励那些帮助我们保障用户安全的最佳外部贡献,我们为Airwallex拥有的网络资产维护了一个漏洞赏金计划。
提交至bugbounty@airwallex.com的问题将根据优先级进行处理。
服务范围
任何会处理相对敏感用户数据的Airwallex拥有的网络服务都应在范围内。这包括*.airwallex.com域中几乎所有的内容。
符合资格的漏洞
任何设计或实现相关的问题,如果其严重影响用户数据的保密性或完整性,则可能适用于这个计划。该计划仅限于Airwallex拥有/使用的网络应用程序中的技术漏洞。
请不要尝试进行DoS或DDoS攻击、社会工程、垃圾邮件或其他类似的可疑行为。
以下类型的发现明确不包括在赏金范围内
- 严禁使用自动扫描器
- 已知公共文件或目录的披露(例如robots.txt)
- 点击劫持和仅通过点击劫持可利用的问题
- 针对匿名用户可用的表单的CSRF(例如联系表单)
- 需要CSRF令牌知识的CSRF攻击(例如涉及本地机器的攻击)
- 注销跨站请求伪造(注销CSRF)
- 内容欺骗
- 登录或忘记密码页面的暴力破解和未强制执行账户锁定
- 启用OPTIONS HTTP方法
- 用户名/电子邮件枚举
- 缺少HTTP安全标头,特别是(https://www.owasp.org/index.php/List_of_useful_HTTP_headers),例如
- 严格传输安全性;X-Frame-Options;X-XSS-Protection;X-Content-Type-Options;内容安全策略,X-内容安全策略,X-WebKit-CSP;内容安全策略-仅报告;缓存控制和Pragma。
- HTTP/DNS缓存投毒
- SSL/TLS问题,
- 例如SSL攻击,如BEAST、BREACH、重新协商攻击;未启用SSL前向保密性;SSL弱/不安全密码套件。
- 不接受自我XSS报告
- 同样,任何需要本地访问的XSS(即用户代理标头注入)将不被接受。唯一的例外是,如果您能展示一种有效的离线中间人攻击,使XSS触发
- 任何类型的缺失或不正确的SPF记录
- 任何类型的缺失或不正确的DMARC记录
- 源代码披露漏洞
- 非机密信息的信息披露
- 电子邮件轰炸/洪水/速率限制
不符合资格的漏洞
根据其影响程度,一些报告的问题可能不符合资格,如果对业务风险没有造成相当大的影响。
安全漏洞的奖励金额
我们的货币奖励大致与其他已知奖励计划一致,最终金额始终由我们的奖励小组自行决定。特别是,我们可能决定为异常聪明或严重的漏洞支付更高的奖励,或者为需要异常用户交互的漏洞支付较低的奖励。我们还可能决定单个报告实际上构成多个漏洞,或者多个报告如此密切相关,以至于只值得一次奖励。Airwallex根据先到先得的原则奖励漏洞赏金猎人-对于同一漏洞的第一个全面报告将被授予任何赏金。
调查和报告漏洞
在调查漏洞时,请只针对您自己的帐户。永远不要尝试访问任何其他人的数据,也不要参与任何可能对用户或Airwallex造成干扰或损害的活动。
请记住我们感兴趣的是漏洞,而不是用户数据。如果在研究过程中遇到用户信息,请不要保存、存储、复制、传输、披露或以其他方式保留这些信息,并请立即向我们报告。
请善意进行研究。未经我们同意和审查,请不要公开披露漏洞。我们向您承诺会及时回应并在合理的时间内修复漏洞-作为交换,我们要求合理的提前通知。违反这一原则的报告通常不会符合资格,但我们将根据具体情况进行评估。
法律要点
我们无法向在制裁名单上的个人或在制裁名单上的国家(例如古巴、伊朗、朝鲜、苏丹和叙利亚)发放奖励。根据您的居住国和国籍,您需对任何税务影响负责。根据您当地法律,您可能会受到进入的其他限制。
这不是一场比赛,而是一个实验性和自由裁量权奖励计划。您应了解我们可以随时取消该计划,是否支付奖励的决定完全由我们自行决定。Airwallex根据先到先得的原则奖励漏洞赏金猎人,因此如果您发现刚刚被报告的漏洞,我们将不会奖励您。
当然,您的测试不能违反任何法律,也不能破坏或危害任何不属于您自己的数据。
要联系我们的信息安全团队,请发送电子邮件至bugbounty@airwallex.com。