漏洞披露政策(VDP)
更新:2025年12月19日 10:23
我们感谢安全研究,并欢迎善意提交的报告。我们目前 暂不接受外部渗透测试。
范围
skyalo.com,*.skyalo.comSkyalo 移动应用(最新公开版本)
不在范围内: 第三方服务、DoS/流量洪泛、暴力破解、社会工程、物理攻击、垃圾邮件/DMARC 报告、无实际影响的版本披露、未证明影响的点击劫持、缺少安全响应头但无可利用方式的情况。
参与规则
请秉持善意,并避免侵犯隐私或导致服务降级。
仅使用你自己的账号/数据进行测试。
不得访问或修改不属于你的数据。如你无意中访问到非公开数据,请立即停止并通知我们。
禁止任何影响可用性或稳定性的自动化扫描。
如何报告
请发送邮件至 [email protected],并包含:
受影响的主机/接口及环境
清晰的复现步骤
最小化 PoC(HTTP 请求/响应、截图)
影响评估与预估严重等级(建议使用 CVSS v3.1)
测试时间窗口与源 IP
请勿在邮件中包含机密信息(凭证、令牌、原始数据库导出等);请对敏感数据进行脱敏或遮盖。如需加密传输,请联系我们,我们将安排安全方式。
安全港
如你遵守本政策,我们不会采取法律行动,并将把你的研究视为仅为报告问题之目的而获得授权。
奖励与致谢
我们目前不提供现金奖励。对于已确认且不重复的问题,我们将提供 公开致谢(荣誉榜),并可按需出具感谢信。重复报告可能会在不提供额外致谢的情况下关闭;署名归首个我们收到的有效报告。
时限与 SLA
确认收悉:在 3 个工作日内
分流状态更新:审核后
协同披露:请在修复发布前暂缓公开细节(最长可达 90 天)
目标修复: 严重:7 天;高:30 天;中:90 天;低:进入待办/按计划处理。