漏洞揭露政策(VDP)
更新:2025年12月19日 上午10:23
我們重視安全研究並歡迎善意回報。我們目前 目前不接受外部滲透測試。
範圍
skyalo.com,*.skyalo.comSkyalo 行動應用程式(最新公開版本)
不在範圍內: 第三方服務、DoS/流量淹沒、暴力破解、社交工程、實體攻擊、垃圾郵件/DMARC 回報、未造成影響的版本揭露、未證明影響的點擊劫持、未含可利用情境的缺少安全標頭。
互動規則
請以善意行事,避免侵犯隱私或造成服務降級。
僅使用您自己的帳號/資料。
請勿存取或修改不屬於您的資料。若您不慎存取到非公開資料,請立即停止並通知我們。
不得進行會影響可用性或穩定性的自動化掃描。
如何回報
電子郵件 [email protected],內容包含:
受影響的主機/端點與環境
清楚的重現步驟
最小化 PoC(HTTP 請求/回應、截圖)
影響評估與預估嚴重度(建議使用 CVSS v3.1)
測試時間區間與來源 IP
請勿在內容中附上機密資料(帳密、權杖、原始資料庫匯出)於電子郵件中;請先刪除或遮蔽敏感資訊。如需加密,請聯繫我們,我們將安排安全傳送方式。
安全港
若您遵循本政策,我們不會採取法律行動,並將把您的研究視為在「回報問題」此有限目的下的授權行為。
獎勵與表揚
我們目前不提供金錢獎勵。對於已確認且非重複的問題,我們提供 公開致謝(榮譽榜),並可依需求提供感謝函。重複回報可能會在不另行表揚的情況下結案;功勞歸於我們收到的第一份有效回報。
時程與 SLA
確認收悉:於 3 個工作天內
初步分類狀態更新:審查後
協調揭露:請在修補可用前暫勿公開細節(最長可達 90 天)
目標修補: 緊急:7 天;高:30 天;中:90 天;低:列入待辦/依排程處理。