PlayerAuctions平台的安全性以及用户数据的保护是我们的首要任务。我们欢迎全球安全研究社区为实现这一目标贡献力量。如果您在我们的平台上发现了安全漏洞,欢迎向我们报告。
本政策将说明漏洞的报告规则、处理流程,以及如何奖励。
安全港条款
依据本政策开展的安全研究和漏洞披露活动均被视为出于善意的授权行为。只要研究人员遵守本政策中规定的规则,我们不会对其入侵或试图入侵我们系统的行为采取法律行动。
如何报告漏洞
为确保您的报告能被及时接收和处理,请将所有发现提交至我们唯一的官方安全渠道:infosec@playerauctions.com
为协助我们顺利验证您的报告,请包含以下细节:
• 漏洞类型: 清晰描述(例如,跨站脚本、不安全的直接对象引用、SQL 注入)。
• 受影响的 URL / 端点: 漏洞的具体位置。
• 详细复现步骤: 清晰的分步指南。
• 概念验证(PoC): 能证明影响的截图、代码片段或视频。
• 潜在影响: 简要说明攻击者可能达成的后果。
规则与范围
纳入范围:
*.playerauctions.com
不纳入范围:
• PlayerAuctions 所使用的任何第三方服务(例如,Zendesk、社交媒体平台)。
• 我们的企业博客、营销网站或任何非生产环境。
• 未在范围内资产中列出的任何其他资产。
禁止行为:
• 拒绝服务(DoS 或 DDoS)攻击。
• 向我们的员工或用户发送垃圾信息、实施社会工程学攻击或钓鱼攻击。
• 访问、修改或窃取非自身的任何信息。
奖励与漏洞评级
我们致力于奖励安全研究人员的高质量工作,奖励基于漏洞的严重性、业务影响及利用场景而定。
最终奖励金额由 PlayerAuctions 信息安全团队在对漏洞的严重性(CVSS)、业务影响及利用场景进行全面评估后确定。
| 严重程度 | 赏金范围(美元) |
| 严重 | 500 美元及以上 |
| 高 | 200-500 美元 |
| 中 | 100-200 美元 |
| 低 | 最高 100 美元 |
不符合赏金的漏洞类型
以下类型的发现通常不会获得赏金:
• 来自自动化扫描工具的报告,且未提供经证实的、实际的攻击向量。
• 缺失安全头(如 CSP、HSTS)或 “最佳实践” 配置问题,但未证明存在可利用的漏洞。
• 软件版本泄露。
• SPF、DKIM、DMARC 记录问题。
• 自我 XSS(要求用户将代码粘贴到自己的浏览器中)。
• 登录 / 登出跨站请求伪造(CSRF)。
• 速率限制问题(除非它们导致严重漏洞)。
• 无敏感操作页面上的点击劫持。
• 第三方 SaaS 服务(如 Zendesk)的配置或架构限制,包括速率限制问题或邮件触发机制相关限制,且此类限制不会导致敏感数据泄露。
漏洞报告处理流程
1. 确认: 我们会尽力在两个工作日内确认收到您的报告。
2. 分类与验证: 我们的团队将验证您的发现并通知您报告是否符合奖励条件或是重复报告。
3. 修复: 我们的开发团队将根据内部服务等级协议(SLAs)着手修复漏洞。
4. 奖励: 漏洞修复并验证后,我们将安排支付赏金。