Vultr.com 网站 my.vultr.com, www.vultr.com, api.vultr.com 均在范围之内。可接受的类别包括注入攻击、身份验证或授权缺陷、跨站脚本攻击、敏感数据暴露、特权提升及其他安全问题。
Vultr.com 客户实例不在范围内。许多实例的默认主机名或反向 DNS 以 "vultr.com" 结尾,但这并不表示 IP 在范围内。如果您对某些事是否在范围内有任何疑问,请在采取任何行动前先联系我们。
严禁任何类型的 DoS/DDoS 攻击。
这些报告通常非常有干扰性,假正率很高,不在范围内。
要求用户妥协或具有恶意浏览器扩展的漏洞不在范围内。
我们提供的操作系统的脆弱点不在范围内,除非问题是直接由于我们进行的修改导致。
要求最终用户运行过时的或旧版网页浏览器的行为不在范围内。
请不要提交大量支持工单或回复。这会对其他有实际问题的客户造成延误。
我们允许在用户为其帐户提供资金或验证其电子邮箱之前更改电子邮件地址而无需验证。围绕已注入资金的或验证的账户的保护措施明显加强。
The Vultr Marketplace is designed for vendors to deploy vendor provided applications and images. Images provided by and deployed by vendors are out of scope for the Bug Bounty Program.
关于在同一个 Gmail 地址下以添加点号的方式创建多个用户帐户的问题被认为超出了范围。请参考 Google 在此处关于该主题的支持文章。
指出缺少安全标头(内容安全策略及类似标头)的报告或者 DMARC 策略建议不在范围内。
指出未从工单附件中删除 EXIF 或其他元数据的报告不在范围内。
如果您在 Vultr 平台的任何地方发现了安全漏洞,那么与您合作解决问题便是我们的首要任务。我们的工程团队将立即审查所有提交的漏洞赏金,并就符合道德的可验证漏洞披露向报告者给予补偿。奖励级别将根据漏洞的严重性、复杂性和范围确定。
符合补偿条件的举报将获得 Vultr 帐户信用或转到您的 PayPal 地址。
工程团队成员将进行审查,并很快与您联系。