我们认真对待我们系统的安全,我们重视用户、贡献者、客户和客户的安全。披露安全漏洞有助于我们确保用户的安全和隐私。
指南
如果您访问我们的网站并注意到任何安全问题,我们要求所有研究人员:
- 在安全测试期间,尽一切努力避免侵犯隐私、降低用户体验、破坏生产系统和破坏数据。
- 使用已确定的通信渠道向我们报告漏洞信息;以及
- 在我们有[90]天的时间来解决这个问题之前,您和INMAGINE之间要对您发现的任何漏洞的信息保密。
保密性
您通过安全漏洞发现或收集的任何关于INMAGINE或任何INMAGINE用户的信息都必须保密,并且只用于与我们有关的方面。严禁访问其他用户的私人信息,进行可能对INMAGINE用户产生负面影响的行为。未经INMAGINE事先书面同意,您不得使用、披露或分发任何此类机密信息,包括但不限于您提交的任何信息和您在研究INMAGINE网站时获得的信息。
为了我们的用户和工作人员的安全,我们希望您不要做以下行为:
- 垃圾邮件。
- 对INMAGINE员工或承包商或客户进行社会工程(包括网络钓鱼)。
- 任何针对INMAGINE财产或数据中心的物理攻击。
- 密码挖掘。
- 访问或试图访问不属于您的数据或信息。
- 销毁或破坏,或试图销毁或破坏不属于您的数据或信息。
- 造成或试图造成拒绝服务(DoS/DDoS)状况。
如果您遵循这些准则并立即向我们报告,我们承诺:
- 我们不会对试图在我们的系统中发现漏洞的安全研究人员采取法律行动,但要遵守这一政策。
如何报告安全漏洞?
我们相信所有的技术都存在漏洞,而公众在识别这些漏洞方面发挥着至关重要的作用。如果您认为您在我们的产品或平台中发现了一个安全漏洞,请立即通过电子邮件发送给我们:patrick@123rf.com。请在报告中包括以下细节:- 描述该漏洞的位置和潜在影响。
- 详细描述重现该漏洞所需的步骤(POC脚本、屏幕截图和压缩的屏幕截图对我们都有帮助);以及
- 您的姓名/电话
资格认证
我们接受基于CVSS 3.1的严重性不低于6的报告。最终的严重性可能会被调整,以反映所报告的漏洞对我们领域的影响。
关于CVSS 3.1评分的更多信息: https://www.first.org/cvss/calculator/3.1范围内
*.123rf.com*.pixlr.com*.designs.ai范围外
当报告漏洞时,您应考虑攻击场景/可利用性,以及错误的安全影响。以下问题被认为不属于本计划的范围,我们将不接受以下任何类型的攻击:
- 拒绝服务攻击
- 垃圾邮件、社会工程或电子邮件网络钓鱼技术(如网络钓鱼、vishing、smishing)。
- 电子邮件欺骗
- 客户端的任何安全漏洞(如浏览器、插件)。
- 软件版本披露
- 反映的文件下载
- 任何实际访问问题
- 可公开访问的网页
- 任何弱点或信息披露,但不直接导致脆弱性。
- 电子邮件或账户枚举
- CSV命令的执行和CSP的弱点
- 第三方应用程序或网站的任何漏洞通常不在本计划的范围内。
条款变更
Inmagine保留随时修改或取消本赏金计划及其政策的权利,而无需事先通知。
因此,Inmagine可在任何时候通过在Inmagine网站上发布修订版来修改本条款和/或其政策。如果您在条款修改后继续参与赏虫计划,则您接受修改后的条款。