1.发现安全问题
找到 Vultr 平台、客户门户或我们 API 存在的安全问题。
2.写信给我们。
创建报告(包括再现漏洞的步骤),并根据需要附上其他证据。
3.获得奖励!
漏洞的严重性越高,奖金的价值就越高。
漏洞赏金计划 的 范围是什么?
Vultr.com 网站 my.vultr.com, www.vultr.com, api.vultr.com 均在范围之内。可接受的类别包括注入攻击、身份验证或授权缺陷、跨站脚本攻击、敏感数据暴露、特权提升及其他安全问题。
哪些问题 不在范围内?
客户实例
Vultr.com 客户实例不在范围内。许多实例的默认主机名或反向 DNS 以 "vultr.com" 结尾,但这并不表示 IP 在范围内。如果您对某些事是否在范围内有任何疑问,请在采取任何行动前先联系我们。
DDoS 攻击
严禁任何类型的 DoS/DDoS 攻击。
自动扫描报告
这些报告通常非常有干扰性,假正率很高,不在范围内。
妥协的客户
要求用户妥协或具有恶意浏览器扩展的漏洞不在范围内。
操作系统
我们提供的操作系统的脆弱点不在范围内,除非问题是直接由于我们进行的修改导致。
不推荐使用的浏览器
要求最终用户运行过时的或旧版网页浏览器的行为不在范围内。
支持工单
请不要提交大量支持工单或回复。这会对其他有实际问题的客户造成延误。
未验证帐户的电子邮箱更改
我们允许在用户为其帐户提供资金或验证其电子邮箱之前更改电子邮件地址而无需验证。围绕已注入资金的或验证的账户的保护措施明显加强。
Vultr Marketplace
The Vultr Marketplace is designed for vendors to deploy vendor provided applications and images. Images provided by and deployed by vendors are out of scope for the Bug Bounty Program.
加点号的 Gmail 地址
关于在同一个 Gmail 地址下以添加点号的方式创建多个用户帐户的问题被认为超出了范围。请参考 Google 在此处关于该主题的支持文章。
缺少安全标头
指出缺少安全标头(内容安全策略及类似标头)的报告或者 DMARC 策略建议不在范围内。
工单附件中的 EXIF 或其他元数据
指出未从工单附件中删除 EXIF 或其他元数据的报告不在范围内。
报告问题
如果您在 Vultr 平台的任何地方发现了安全漏洞,那么与您合作解决问题便是我们的首要任务。我们的工程团队将立即审查所有提交的漏洞赏金,并就符合道德的可验证漏洞披露向报告者给予补偿。奖励级别将根据漏洞的严重性、复杂性和范围确定。
符合补偿条件的举报将获得 Vultr 帐户信用或转到您的 PayPal 地址。
我们已收到您的漏洞报告。
工程团队成员将进行审查,并很快与您联系。