TodayChart 安全漏洞反馈政策
生效日期 2025年3月26日
一、漏洞提交范围
- 适用于TodayChart的移动应用、Web平台及API接口,涵盖以下类型漏洞:
- 远程代码执行(RCE):未授权触发系统级命令或代码执行
- 敏感数据泄露:用户信息、API密钥等非公开数据泄露
- 权限提升:普通用户越权访问管理员功能或数据
- 注入攻击:SQL注入、XSS、命令注入等
- 逻辑漏洞:业务规则绕过(如支付篡改、身份伪造)
- 不适用范围:
- 物理设备或硬件安全问题
- 第三方服务(如云服务商)的漏洞
- 已公开披露的漏洞(需提供CVE编号)
二、提交方式与要求
- 唯一渠道:通过加密邮件提交至 todaychart2025@gmail.com
- 邮件主题:[TODAYCHART-VULN] 漏洞类型-影响产品(示例:[TODAYCHART-VULN] SQL注入-Web端行情页)
- 邮件内容:
- 漏洞复现步骤(含截图或视频);
- 影响版本及设备信息;
- 潜在危害等级(参考分级标准);
- 附件要求:POC代码需加密压缩,密码通过邮件正文单独提供。
- 加密通信(可选):
PGP公钥:-----BEGIN PGP PUBLIC KEY BLOCK-----(需人工提供)
三、处理流程与响应
| 阶段 | 操作 | 时间承诺 |
|---|---|---|
| 初步审核 | 验证漏洞有效性及复现性 | ≤3个工作日 |
| 深度分析 | 评估危害等级、影响范围 | ≤7个工作日 |
| 修复与测试 | 推送补丁至测试环境 | ≤14个工作日 |
| 反馈闭环 | 通过邮件同步修复结果及致谢(如适用) | ≤5个工作日 |
分级响应标准:
- 严重(Critical):可导致大规模数据泄露或系统瘫痪(如RCE)→ 优先处理;
- 高危(High):需登录或有限权限即可利用(如越权访问)→ 48小时内响应;
- 中低危(Medium/Low):需复杂条件触发→ 按优先级排队处理。
四、奖励与致谢
- 漏洞赏金:根据危害等级提供阶梯奖励(需单独协商,非强制);
- 公开致谢:经同意后,在官网或安全社区(如HackerOne)披露贡献者信息(匿名可选)。
五、免责声明
- 非授权测试禁止:未经书面许可的漏洞探测可能触犯法律;
- 保密义务:提交者需承诺不泄露漏洞细节及用户数据;
- 法律豁免:善意漏洞报告者不承担因合规披露导致的责任。
六、政策更新与咨询
- 更新通知:重大变更将通过App内弹窗及邮件告知;
- 人工咨询:通过邮件联系 todaychart2025@gmail.com(标注“政策咨询”)。
合规声明:本政策遵循ISO 29147漏洞披露标准及《网络安全漏洞管理规定》。
TodayChart 团队
2025年4月7日
2025年4月7日
附:漏洞提交示例模板
[标题]
[TODAYCHART-VULN] 跨站脚本漏洞-移动端用户资料页
[复现步骤]
1. 登录账户后进入 「个人资料」 页面;
2. 在 「备注」 字段输入’<script>alert(1)</scrit>’;
3. 页面弹出警告框, 证明XSS漏洞存在。
[影响范围]
-版本:v2.1.3及以下
-设备:Android 10+、 iOS 14+
[附件]
-poc代码(加密压缩包密码:sha256哈希值后8位)
-漏洞截图(含控制台报错)