帮助中心

ZHISHOU Crowdsourced Security Center

常见问题

  • 什么是托管项目
  • 什么是悬赏项目
  • 如何成为精英白帽

白帽子

  • 如何参与托管项目
  • 如何参与悬赏项目
  • 什么是牛角
  • 如何获得牛角

漏洞评级标准

  • 漏洞评级标准参考
  • 评定原则
  • 优秀的报告标准
  • 良好的报告标准
  • 较差的报告标准

协议条款

  • 平台服务协议
  • 项目测试协议
  • 用户隐私协议
  • 用户注册协议
  • 行为规范
什么是托管项目

托管项目指长期托管在知守安全众测平台的安全测试项目,面向所有平台注册白帽开放。

什么是悬赏项目

悬赏项目指短期在知守安全众测平台发布的安全众测项目,面向所有平台精英白帽开放。

如何成为精英白帽

1、注册认证为知守平台白帽子

2、进入个人中心-精英认证,填写相关认证资料

3、平台审核通过后即可成为精英白帽,参与悬赏项目

如何参与托管项目

注册成为知守平台用户,即可参与托管项目。

如何参与悬赏项目

成为精英白帽后,将获得参与悬赏项目的申请资格。每个悬赏项目开始前将在项目大厅上线,精英白帽可申请加入此项目。经过平台审核通过后,即可参与此悬赏项目的安全测试,获得相应奖金。

什么是牛角

牛角是知守安全众测平台的代币,1牛角=1元。

如何获得牛角

参与托管、悬赏项目,漏洞提交并被确认后,均可获得相应奖励的牛角。

漏洞评级标准参考

知守漏洞等级评定标准依据为CVSS v3(Common Vulnerability Scoring System,即“通用漏洞评分系统”),根据漏洞对系统机密性(C)、完整性(I)、可用性(A)影响,将漏洞等级分为【高危】、【中危】、【低危】三个等级。

高危

1. 直接获取核心服务器权限的漏洞,包括但不限于上传Webshell、任意代码执行、远程命令执行等;

2. 核心系统严重的信息泄露漏洞,包括但不限于核心DB的SQL注入、大量用户严重敏感身份信息泄露(至少包含3个敏感字段:姓名/身份证、银行卡信息、手机号/邮箱、密码、地址)、企业内部核心数据泄露等;

3. 核心系统严重的逻辑设计或流程缺陷,包括但不限于批量修改任意账号密码漏洞、任意账号资金消费、任意金额修改的支付漏洞等;

4. 严重影响核心系统可用性的漏洞,如可直接导致核心系统业务瘫痪的拒绝服务漏洞(如S2-020补丁绕过切换web目录可直接导致网站崩溃);

5. 直接获取重要业务服务器权限的漏洞。包括但不限于任意命令执 行、上传webshell、任意代码执行;

6. 直接导致重要的信息泄漏漏洞。包括但不限于重要DB的SQL注入漏洞;重要业务大量源码泄露;

7. 严重的越权访问。包括但不限于绕过认证访问重要系统后台;批量盗取用户重要身份信息;

8. 较严重的逻辑设计或流程缺陷,包括但不限于重要系统任意密码重置漏洞;

中危

1. 需交互才能获取用户身份信息的漏洞。包括但不限于核心及重要系统存储型XSS漏洞;

2. 任意文件操作漏洞。包括但不限于任意文件读、写、删除、下载等操作;

3. 普通的越权访问。包括但不限于绕过限制修改用户资料、执行用户操作、读取用户信息;绕过限制访问非重要系统后台;

4. 比较严重的信息泄漏漏洞。包括但不限于敏感信息文件泄露(如DB连接密码);

低危

1. 反射型XSS;非重要系统存储型XSS;

2. 敏感操作的CSRF;URL跳转;危害有限的越权操作(如越权清空/添加购物车等);

3. 轻微信息泄漏。包括但不限于phpinfo;非核心系统的svn信息泄露;非重要信息的泄露(如不能利用的DB连接密码等);客户端应用本地SQL注入;

4. 难以利用但存在安全隐患的漏洞。包括但不仅限于难以利用的SQL注入点;客户端本地拒绝服务;其他不在细分类型里的问题,根据实际危害及CVSS进行综合评价。

评定原则

1. 弱口令问题:同一套系统多个用户弱口令问题只确认第一个,后续提交算重复漏洞;同一个用户弱口令可登陆不同系统,算同一漏洞,合并处理。

2. 对于SQL注入漏洞,须注出其中一条数据证明危害。严禁拖库表。单纯报错无危害证明将会被忽略。

3. 无特别声明情况下,前后关联漏洞合并处理,如先提交弱口令进入后台/内网漏洞,后提交进入后台/内网的SQL注入、越权漏洞。后提交的SQL、越权漏洞均合并处理,审核员会与厂商沟通是否允许继续深入测试该系统。如厂商许可,可正常测试,发现问题可单独提交。

4. 同一个漏洞源产生的多个漏洞计漏洞数量为一。例如同一个接口引起的多个安全漏洞、同一个发布系统引起的多个页面的安全漏洞、框架导致的整站的安全漏洞、泛域名解析产生的多个安全漏洞;因为厂商未做身份校验导致的多个接口越权或者是未做token校验导致的多个CSRF漏洞;同一文件的不同参数、同一参数出现在不同文件、同一文件在不同目录等;相同功能处的添加、编辑、删除等操作都出现同类型漏洞(例如平行权限)时,按同一漏洞处理。

5. 对于边缘/废弃业务系统,根据实际情况酌情降级。

6. 严重敏感身份信息定义:
至少包含3个敏感字段:姓名/身份证、银行卡信息、手机号/邮箱、密码、地址
对于不满足上述条件的信息,将视信息的敏感程度降级处理。

7. 对于已获取系统权限(如webshell),禁止下载源代码审计。请事先联系审核员,审核员将会与厂商沟通相关事宜,如果厂商同意审计,再进行后续操作,发现漏洞可单独提交。否则,其行为将视为违规操作,一经发现行冻结账户。厂商视情况严重程度,保留追究法律责任的权利。

8. 前台撞库、爆破类漏洞,需有成功案例证明;后台爆破,仅收取成功登陆的案例,仅能爆破但没有进入后台的漏洞将忽略。

9. 利用难度较高的漏洞会根据CVSS标准打分后降级处理。如6位数验证码爆破成功重置普通用户密码场景,CVSS打分为5.6分,故一般评为中危。CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L

如果同一个系统中短时间发现了大量的同类型高危漏洞(如SQL注入、越权等),审核员判定该系统几乎没有做任何防护,会与厂商沟通该系统的该类型漏洞是否要继续收取;若厂商表示该类漏洞已知不再收取,则平台方正常审核前三个该类型漏洞,其他已提交的同类型漏洞降级处理,发布通知后同系统同类型漏洞均不再收取,直到厂商重新开放该漏洞类型收取。

优秀的报告标准

漏洞名称: 可简明扼要说明问题,描述语言规范化。如“abc.com站中的list.php请求存在SQL注入漏洞”“abc.com站中test目录下存在目录遍历”等等

企业所属域名:填写信息准确无误

漏洞类别:填写信息准确无误

漏洞等级:填写信息准确无误

漏洞位置:URL及重要参数完整,无误

漏洞详情:包含漏洞概述,漏洞危害,并且复现过程完整,无需二次沟通或补充数据;有详细的漏洞复现步骤、测试步骤,并每个步骤配有图文描述。平台、厂商可根据描述一次性完成漏洞复测

修复方案:修复建议对开发有较大实用性,如修复思路,修复代码样式,伪代码等

格式排版、专业术语:格式排版规范;无病句错别字;描述用语专业化,规范化

良好的报告标准

漏洞名称:可基本概括漏洞情况,描述语言缺乏规范性。如“注入漏洞”“存在越权漏洞”

企业所属域名:填写信息准确无误

漏洞类别:填写信息准确无误

漏洞等级:填写信息准确无误

漏洞位置:URL及重要参数基本正确

漏洞详情:包含漏洞概述,复现过程基本完整,个别地方描述不清或缺少数据,对漏洞评估、复现有一定影响;关键测试步骤完整,但复现步骤缺失,对漏洞复现有一定影响。如直接粘贴出漏洞利用请求包,但缺乏测试步骤如何获取此请求包,需要二次沟通方才可复现

修复方案:修复建议基本无误,但过于简单,无实际参考意义。如“控制权限”,“过滤参数”

格式排版、专业术语:格式排版、专业术语:格式排版不影响正常阅读;个别病句错别字;描述用语较为规范化

较差的报告标准

漏洞名称:标题描述不清;与漏洞详情不符;夸大漏洞级别及危害

企业所属域名:填写信息准确无误

漏洞类别:填写信息准确无误

漏洞等级:填写信息准确无误

漏洞位置:缺少关键URL,核心参数,影响复现

漏洞详情:无效的漏洞描述;复现过程关键步骤缺失,影响正常的漏洞评估、复现;无有效漏洞危害证明或主观臆断危害。

修复方案:无意义或错误的修复建议。如“不知道”,“你懂的”,“问开发”….

格式排版、专业术语:格式排版混乱,影响正常阅读;出现较多的病句,错别字;

平台服务协议
本服务协议是北京丁牛科技有限公司(以下简称“丁牛科技”)与您就【平台名】(或称“平台”、“本网站”)平台服务相关事项所订立的有效合约。您通过盖章、网络页面点击确认或以其他方式选择接受本服务协议,包括但不限于未点击确认本服务协议而事实上使用了平台服务,即表示您与丁牛科技已达成协议并同意接受本服务协议的全部约定内容。如若双方盖章文本与网络页面点击确认或以其他方式选择接受之服务协议文本,存有不一致之处,以双方盖章文本为准。
关于本服务协议,提示您特别关注限制、免责条款,丁牛科技对您违规、违约行为的认定处理条款,以及管辖法院的选择条款等。限制、免责条款可能以加粗或加下划线形式提示您注意。在接受本服务协议之前,请您仔细阅读本服务协议的全部内容。如果您对本服务协议的条款有疑问的,请通过丁牛科技相关业务部门进行询问,丁牛科技将向您解释条款内容。如果您不同意本服务协议的任意内容,或者无法准确理解丁牛科技对条款的解释,请不要进行后续操作。
第一条 服务内容
1.1

本条款中的“服务”是指:丁牛科技向您提供【平台网址】网站上所展示的平台服务以及相关的技术及网络支持服务。

1.2

“【平台名】”是指:丁牛科技建立的帮助企业发现其计算机系统、网络系统或产品中的安全漏洞的服务平台,平台的参与方包括发布安全服务需求的企业(以下简称“您”)、安全服务提供者,以及平台提供者丁牛科技。

1.3

“安全服务提供者”是指:通过平台参与安全测试漏洞提交过程的安全专家,其能够识别计算机系统、网络系统或产品中的安全漏洞,但并不会恶意利用,而是报告漏洞,帮助企业在被其他人恶意利用之前修补漏洞,维护计算机和互联网安全。

1.4

丁牛科技提供的服务必须符合本服务协议及服务展示页面的相关管理规范及流程的约定。

第二条 服务费用
2.1

服务费用采用预付费方式,您需要依照平台服务页面的提示,预存一定金额的费用。丁牛科技承诺,您所预存的费用将被用于且仅被用于以下目的:

2.1.1

依照您所设定的奖励金额,向安全服务提供者支付奖金;

2.1.2

支付安全服务提供者为获得奖金而须缴纳的个人所得税;

2.1.3

根据国家相关法律法规的要求,丁牛科技就提供平台服务所应缴纳的相关税费。

2.2

允许预存的服务费用范围,以及要求预存的费用最低数额将在平台服务页面予以列明公示,您可自行在允许的范围内选择预存的费用数额。

2.3

在您依照平台服务介绍所列标准完成预存费用之后,丁牛科技才开始为您提供服务。

2.4

您不可撤销地授权丁牛科技,当安全服务提供者提交了与您系统、服务、产品相关的安全漏洞信息且经丁牛科技审核通过后,丁牛科技可以从您预存的费用中向提交该等安全漏洞信息的安全服务提供者拨付您通过平台服务页面承诺的奖金,并扣除相应的税费支出。

2.5

服务期满或费用耗尽后双方愿意继续合作的,您至少应在服务期满或费用耗尽前内支付续费款项,以使服务得以继续进行。如续费时丁牛科技对产品体系、名称或价格进行调整的,双方同意按照届时有效的新的产品体系、名称或价格履行。

第三条 权利义务
3.1

您的权利、义务

3.1.1

您了解并同意遵守本服务协议、附件以及服务展示页面的相关管理规范及流程。您了解上述协议及规范等的内容可能会不时变更。如本服务协议的任何内容发生变动,丁牛科技应通过提前30天在平台的适当版面公告向您提示修改内容。如您不同意丁牛科技对本服务协议相关条款所做的修改,您有权停止使用丁牛科技的服务,此等情况下,丁牛科技应与您进行服务费结算(如有),并且您应将业务数据迁出。如您继续使用丁牛科技服务,则视为您接受丁牛科技对本服务协议相关条款所做的修改。

3.1.2

您应按照平台的页面提示及本服务协议的约定完成企业实名认证,并预存相应服务费用。

3.1.3

您承诺:

  1. 3.1.3.1

    除丁牛科技明示许可外,不得修改、翻译、改编、出租、转许可、在信息网络上传播或转让丁牛科技提供的软件,也不得逆向工程、反编译或试图以其他方式发现丁牛科技提供的软件的源代码。若丁牛科技的服务涉及第三方软件之许可使用的,您同意遵守相关的许可协议的约束;

  2. 3.1.3.2

    理解并接受丁牛科技对安全服务提供者提交的安全漏洞信息的审核结果,包括但不限于对于安全漏洞等级的认可及修正;

  3. 3.1.3.3

    不利用平台服务散布电子邮件广告、垃圾邮件(SPAM):不利用丁牛科技提供的服务散发大量不受欢迎的或者未经请求的电子邮件、电子广告或包含反动、色情等有害信息的电子邮件;

  4. 3.1.3.4

    不得将平台服务的任何交付物用于二次销售、出租或者以其他任何方式牟利;

  5. 3.1.3.5

    不利用丁牛科技提供的资源和服务上传(Upload)、下载(download)、储存、发布如下信息或者内容,不为他人发布该等信息提供任何便利(包括但不限于设置URL、BANNER链接等):

    1. 3.1.3.5.1

      违反国家规定的政治宣传和/或新闻信息;

    2. 3.1.3.5.2

      涉及国家秘密和/或安全的信息;

    3. 3.1.3.5.3

      封建迷信和/或淫秽、色情、下流的信息或教唆犯罪的信息;

    4. 3.1.3.5.4

      博彩有奖、赌博游戏、“私服”、“外挂”等非法互联网出版活动;

    5. 3.1.3.5.5

      违反国家民族和宗教政策的信息;

    6. 3.1.3.5.6

      妨碍互联网运行安全的信息;

    7. 3.1.3.5.7

      侵害他人合法权益的信息和/或其他有损于社会秩序、社会治安、公共道德的信息或内容;

    8. 3.1.3.5.8

      其他违反法律法规、部门规章或国家政策的内容。

  6. 3.1.3.6

    不应大量占用,亦不得导致如程序或进程等大量占用丁牛科技云计算资源(如云服务器、网络带宽、存储空间等)所组成的平台(以下简称“云平台”)中服务器内存、CPU或者网络带宽资源,并给丁牛科技云平台或者丁牛科技的其他用户的网络、服务器(包括但不限于本地及外地和国际的网络、服务器等)、产品/应用等带来严重的、不合理的负荷,影响丁牛科技与国际互联网或者丁牛科技与特定网络、服务器及丁牛科技内部正常通畅的联系,或者导致丁牛科技云平台产品与服务或者丁牛科技的其他用户的服务器宕机、死机或者用户基于云平台的产品/应用不可访问等;

  7. 3.1.3.7

    不进行任何破坏或试图破坏网络安全的行为(包括但不限于钓鱼,黑客,网络诈骗,网站或空间中含有或涉嫌散播:病毒、木马、恶意代码,及通过虚拟服务器对其他网站、服务器进行涉嫌攻击行为如扫描、嗅探、ARP欺骗、DOS等);

  8. 3.1.3.8

    不进行任何改变或试图改变丁牛科技提供的系统配置或破坏系统安全的行为;

  9. 3.1.3.9

    不利用丁牛科技提供的服务从事损害丁牛科技、丁牛科技的关联公司、网站、平台合法权益之行为;

  10. 3.1.3.10

    不从事其他违法、违规或违反丁牛科技服务协议的行为;

  11. 3.1.3.11

    如丁牛科技发现您违反上述条款的约定,有权根据情况采取相应的处理措施,包括但不限于立即终止服务、中止服务或删除相应信息等。如果第三方机构或个人对您提出质疑或投诉,丁牛科技将通知您,您有责任在规定时间内进行说明并出具证明材料,如您未能提供相关证据或您逾期未能反馈的,丁牛科技将采取包括但不限于立即终止服务、中止服务或删除相应信息等处理措施。因您未及时更新联系方式或联系方式不正确而致使未能联系到您的,亦视为您逾期未能反馈。

3.1.4

您不应在丁牛科技服务平台之上安装、使用盗版软件;您对自己行为(如自行安装的软件和进行的操作)所引起的结果承担全部责任。

3.1.5

您对自己存放在丁牛科技云平台上的数据以及进入和管理丁牛科技云平台上各类产品与服务的口令、密码的完整性和保密性负责。因您维护不当或保密不当致使上述数据、口令、密码等丢失或泄漏所引起的一切损失和后果均由您自行承担。

3.1.6

您应向丁牛科技提交执行本服务协议的联系并提供必要的协助。如以上人员发生变动,您应自行将变动后的信息进行在线更新并及时通知丁牛科技。因您提供的人员的信息不真实、不准确、不完整,以及因以上人员的行为或不作为而产生的结果,均由您负责。

3.1.7

您了解丁牛科技仅提供虚拟平台让您得到安全服务提供者提供的与您系统、服务、产品有关的安全漏洞信息,并使得提交该安全漏洞信息的安全服务提供者得到您承诺的奖励。丁牛科技无法保证所提供的服务毫无瑕疵,亦不能保证一定会有安全服务提供者提交与您有关的安全漏洞信息,但丁牛科技承诺不断提升服务质量及服务水平。所以您同意:即使丁牛科技提供的服务存在瑕疵,但上述瑕疵是当时行业技术水平或客观原因所无法避免的,其将不被视为丁牛科技违约。您同意和丁牛科技一同合作解决上述瑕疵问题。

3.1.8

数据备份系您的义务和责任。丁牛科技不保证完全备份用户数据,亦不对用户数据备份工作或结果承担任何责任。

3.1.9

您应尽可能对您提交给平台进行漏洞测试的系统或产品进行脱密处理,您了解丁牛科技仅提供虚拟平台让您得到安全服务提供者提供的与您系统、服务、产品有关的安全漏洞信息,丁牛科技不对您提交进行测试的系统或产品承担脱密保护义务,也不对因您未进行脱密处理导致的任何后果或损失承担赔偿责任。

3.2

丁牛科技的权利、义务

3.2.1

丁牛科技应按照服务协议约定提供服务,严格对安全服务提供者提交的安全漏洞信息进行审核,并及时提供审核结果。

3.2.2

服务期限内,丁牛科技还将为您提供如下客户服务:

  1. 3.2.2.1

    5×8小时在线咨询服务;

  2. 3.2.2.2

    7×24小时的在线工单服务系统,解答您在使用中的问题。

3.2.3

丁牛科技将消除您非人为操作所出现的故障,但因您原因和/或不可抗力以及非丁牛科技控制范围之内的事项除外。

3.2.4

丁牛科技应严格遵守保密义务。

第四条 禁止上载、展示、张贴、传播或以其它方式传送含有下列内容之一的信息 :
4.1

丁牛科技可能会使用您提交的注册账户的信息,向您发出产品、服务的推广营销信息。

4.2

您的用户数据将在下述情况下部分或全部被披露:

4.2.1

经您同意,向第三方披露;

4.2.2

根据法律的有关规定,或者行政或司法机构的要求,向第三方或者行政、司法机构披露;

4.2.3

如果您出现违反中国有关法律法规的情况,需要向第三方披露;

4.2.4

为提供您所要求的软件或服务,而必须和第三方分享您数据。

第五条 知识产权
5.1

您应保证提交丁牛科技的素材、对丁牛科技服务的使用及使用丁牛科技服务所产生的成果未侵犯任何第三方的合法权益。如有第三方基于侵犯版权、侵犯第三人之权益或违反中国法律法规或其他适用的法律等原因而向丁牛科技提起索赔、诉讼或可能向其提起诉讼,则您应赔偿丁牛科技因此承担的费用或损失,并使丁牛科技完全免责。

5.2

如果第三方机构或个人对您使用丁牛科技平台服务所涉及的相关素材的知识产权归属提出质疑或投诉,您有责任出具相关知识产权证明材料,并配合丁牛科技相关投诉处理工作。

5.3

您承认丁牛科技向您提供的任何资料、技术或技术支持、软件、服务等的知识产权均属于丁牛科技或第三方所有。除丁牛科技或第三方明示同意外,您无权复制、传播、转让、许可或提供他人使用上述资源,否则应承担相应的责任。

5.4

如您需使用漏洞提交者在平台发布的漏洞报告或漏洞解决方案,需经得提交者同意。

第六条 保密条款
6.1

保密资料指由一方向另一方披露的所有技术及非技术信息(包括但不限于产品资料、产品计划、价格、财务及营销规划、业务战略、客户信息、客户数据、研发、软件硬件、API应用数据接口、技术说明、设计、特殊公式、特殊算法等)。

6.2

本服务协议任何一方同意对获悉的对方之上述保密资料予以保密,并严格限制接触上述保密信息的员工遵守本条之保密义务。除非国家机关依法强制要求或上述保密资料已经进入公有领域外,接受保密资料的一方不得对外披露。

6.3

本服务协议双方明确认可各自用户信息和业务数据等是各自的重要资产及重点保密信息。本服务协议双方同意尽最大的努力保护上述保密信息等不被披露。一旦发现有上述保密信息泄露事件,双方应合作采取一切合理措施避免或者减轻损害后果的产生。

6.4

本条款不因本服务协议的终止而失效。

第七条 期限与终止
7.1

服务期限自您第一次预存平台服务费用之日起计算,并以您所预存的款项数额为依据确认服务期限。

7.2

发生下列情形,服务期限提前终止:

7.2.1

双方协商一致提前终止的;

7.2.2

您严重违反本服务协议(包括但不限于:a.您未按照协议约定履行付款义务,及/或b.您严重违反法律规定等),丁牛科技有权提前终止服务,并不退还您已经支付的费用;

7.2.3

您应保持账户余额充足以确保服务的持续使用。如您的预存款余额不足以支付安全服务提供者的奖金或相应税费,丁牛科技将暂停提供服务;

7.2.4

丁牛科技可提前30天在平台上通告或给您发网站内通知或书面通知的方式终止本服务协议。

第八条 违约责任
8.1

本服务协议任何一方违约均须依法承担违约责任。

8.2

您理解,鉴于计算机、互联网的特殊性,下述情况不属于丁牛科技违约:

8.2.1

丁牛科技在进行服务器配置、维护时,需要短时间中断服务;

8.2.2

由于Internet上的通路阻塞造成您网站访问速度下降;

8.2.3

没有安全服务提供者提交与您系统、服务、产品相关的安全漏洞信息,或安全服务提供者提交的与您系统、服务、产品相关的安全漏洞信息经丁牛科技审核不存在或不合格。

8.3

如果因丁牛科技原因,造成您连续72小时不能正常使用服务的,您可以终止服务,但非丁牛科技控制之内的原因引起的除外。

8.4

在任何情况下,丁牛科技均不对任何间接性、后果性、惩戒性、偶然性、特殊性的损害,包括您使用丁牛科技服务而遭受的利润损失承担责任(即使您已被告知该等损失的可能性)。

8.5

在任何情况下,丁牛科技对本服务协议所承担的违约赔偿责任限于解除本服务协议。

第九条 不利用DigApis漏洞服务和网站相关信息从事以下活动 :
9.1

因不可抗力或者其他意外事件,使得本服务协议的履行不可能、不必要或者无意义的,遭受不可抗力、意外事件的一方不承担责任。

9.2

不可抗力、意外事件是指不能预见、不能克服并不能避免且对一方或双方当事人造成重大影响的客观事件,包括但不限于自然灾害如洪水、地震、瘟疫流行等以及社会事件如战争、动乱、政府行为、电信主干线路中断、黑客、网路堵塞、电信部门技术调整和政府管制等。

第十条 法律适用及争议解决
10.1

本服务协议受中华人民共和国法律管辖。

10.2

在执行本服务协议过程中如发生纠纷,双方应及时协商解决。协商不成时,任何一方可直接向丁牛科技所在地有管辖权的人民法院提起诉讼。

第十一条 附则
11.1

丁牛科技在平台相关页面上的服务协议、附件、您确认同意的订购页面以及服务展示页面的相关管理规范及流程等均为本服务协议不可分割的一部分。如果平台相关页面上的信息与本服务协议有不一致之处,以本服务协议为准。

11.2

丁牛科技有权以提前30天在平台上公布或给您发网站内通知或书面通知的方式将本服务协议的权利义务全部或者部分转移给丁牛科技的关联公司。

11.3

如果任何条款在性质上或其他方面理应地在此协议终止时继续存在,那么应视为继续存在的条款,这些条款包括但不局限于保证条款、保密条款、知识产权条款、法律适用及争议解决条款。

项目测试协议
知守安全众测平台是北京丁牛科技有限公司旗下的漏洞测试服务平台。欢迎您作为安全服务提供者参加平台测试项目,请务必先仔细阅读、充分理解本协议各条款内容,特别是权利义务条款、违约责任、管辖与法律适用条款。如果您未满18周岁,请在法定监护人的陪同下阅读本协议。根据《中华人民共和国合同法》、《中华人民共和国网络安全法》等法律法规的规定,以及平台与项目发起者签订的协议的约定,您在参加测试项目前须签订本协议,一旦您点击确认参与本协议,则意味着您完全接受并同意本协议项下条款和内容。
第一条 定义
1.1

项目:针对企业在平台发起的安全测试项目。

1.2

项目发起者:拥有被测试产品或项目的知识产权或授权使用权或授权运营权、在平台上完成注册并授权平台发布项目测试需求的企业用户。

1.3

第三方:除您个人、平台、项目发起者外的任何其他方。

第二条 您的授权权限
2.1

本项目为授权测试项目,平台与项目发起者授权您在规定范围以及规定时间内开展测试,测试行为需遵守平台行为准则及企业在项目中的具体测试要求,且您保证不会利用平台以及与本项目有关的任何资料及信息进行任何违法或不正当的活动。

2.2

您遵守上述条款进行的测试行为受到平台与项目发起者的保护与许可,并可依据奖励规则获得相应的虚拟物品奖励、现金奖励及荣誉奖励。

第三条 漏洞的报告
3.1

您可以根据漏洞收集流程的指引,向平台提交漏洞收集范围内的,可能导致应用程序数据丢失和篡改、隐私泄露乃至金钱上的损失的安全漏洞信息。

3.2

您必须基于诚信原则,依照漏洞收集流程及平台的具体页面指引提交漏洞信息。您同意并确保该漏洞信息通过本协议述及的网站提交时,您是依据您自身所拥有的知识和技能,在公有领域通过合法正当的方式和途径发现该漏洞信息的存在,并没有采用窃取或任何不道德或非法的方式获得该等漏洞信息;简而言之,您对您所提交的漏洞信息所包含的全部权利的合法性作出保证。

第四条 定义
4.1

为确保平台能够对您所提交的漏洞信息进行评估和确认,一旦您向平台提交了相应的漏洞信息,则意味着无论平台是否愿意向您提供奖励,或无论您是否最终接受奖励,在此期间您均授予平台有权采取其认为必要或适当的任何方式,以便对您所提交的漏洞信息进行内部评估、测试和验证。

4.2

针对您所提交的漏洞信息,平台将依照漏洞验收标准进行验证和评估,并根据评估结果向您提供与之对应的奖励计划。

4.3

平台将依据漏洞奖励计划对您进行奖励。你可以选择是否接受奖励,如您选择接受奖励,则应向平台提供准确、真实的银行账号信息,以便接受对应的奖金。

第五条 费用

您必须自行准备如下设备和承担如下开支:

5.1

上网设备,包括并不限于电脑或者其他上网终端、调制解调器及其他必备的上网装置。

5.2

上网开支,包括并不限于网络接入费、上网设备租用费、手机流量费等。

第六条 保密义务
6.1

您的保密义务:

6.1.1

平台与项目发起者为项目测试的目的透露给您的,以及在本项目测试过程中产生的技术秘密、商业秘密、内部工作秘密及其他平台与项目发起者声明应当保密的信息(以下统称“保密信息”)。包括但不限于:

  1. 6.1.1.1

    本项目相关的测试范围、测试账号等项目信息;

  2. 6.1.1.2

    本项目提交的漏洞信息,包括已忽略漏洞;

  3. 6.1.1.3

    本项目相关设备数量、型号、配置、安装地点等信息;

  4. 6.1.1.4

    本项目相关软件需求、设计文件、源代码和可执行代码、程序文档等资料;

  5. 6.1.1.5

    您在本项目实施过程中产生和获得的任何信息、数据(包括但不限于文字、数据、符号、图形、图像、声音、软件);

  6. 6.1.1.6

    您在项目实施过程中了解的项目发起者单位性质、工作秘密、技术手段等任何信息。

6.1.2

您从平台与项目发起者处获得的与本项目有关或因本项目产生的任何技术、商业或其他性质的资料,无论以何种形式或载于何种载体,无论在披露时是否以口头、书面方式申明其具有秘密性,您均应承担保密义务。

6.1.3

您须保证将采取所有必要的方法对本项目相关信息进行保护,保护方式包括但不限于执行适当的作业程序来避免非授权使用、仿造、复制、留存或披露给第三方。未经平台与项目发起者书面授权许可,您不得将保密信息非授权使用、仿造、复制、留存或以任何方式、任何公共渠道或自媒体(如微博、论坛、社区、QQ群、公众号、朋友圈等)披露给指定或不特定的第三方。

6.1.4

您只能为本项目工作的目的使用平台与项目发起者提供的项目资料,且仅限于您个人知悉,未经平台与项目发起者同意不得泄露给任何第三方(包括您的直系亲属、委托代理人、法定监护人)或作与项目无关的使用。若第三方知晓了保密信息,由此产生的责任由您全部承担。

6.1.5

如相关政府部门或监管机构要求您提供任何保密信息,您应立即将需披露的信息书面通知平台与项目发起者,以便平台与项目发起者采取必要的保护措施,且该等通知应在信息披露前做出。您应尽所有上的合理努力,确保所披露的信息获得有关政府机关或机构的保密待遇。

6.1.6

本项目完成后或在平台与项目发起者要求的任何时间,您应立即停止使用平台与项目发起者提供的保密信息,按平台与项目发起者要求交回所有项目资料,并不得复制或以其他形式留存与项目有关的任何资料(包括电子文档、纸介质等一切形式的资料)。如确属不能归还的形式,经平台与项目发起者同意后予以删除或销毁。

6.1.7

无论您决定何时退出本项目,均应立即将该情况通知平台与项目发起者,并清理和移交您保管的资料、文件、数据等含有本项目信息的载体,本保密协议持续有效。

6.2

平台的保密义务

6.2.1

您的个人信息依法受到保护。

6.2.2

您在项目中提交的相关信息、数据(文字、数据、符号、图形、图像、声音、软件等)等,平台未经许可不得公开或披露给非项目所涉各方的第三方。

6.3

保密义务的例外

6.3.1

凡未经一方书面同意,另一方以直接、间接、书面、口头等形式为第三方提供上述保密内容的行为均属违反保密义务的行为。但以下情况不属于违反保密义务:

  1. 6.3.1.1

    获取或披露一方已公开发表,或已为公众所知的信息;

  2. 6.3.1.2

    获取或披露一方已书面授权公开的信息;

  3. 6.3.1.3

    获取的信息属于一方通过合法手段从第三方在未受到任何限制的情况下获得的;

  4. 6.3.1.4

    根据法律、法规、司法或行政命令的要求向有关国家机关提供他方的秘密信息,但提交前应告知秘密信息所属方。

6.4

保密期限

6.4.1

本协议关于您保密义务的约定自项目实施之日起永久持续有效。

第七条 您须遵守测试规范

您在漏洞风险发现与技术验证过程中必须要保证研究漏洞的方法、方式、工具及手段的合法性,并遵守以下测试规范

7.1

在实现非授权访问或用户权限越权,完成非授权逻辑、越权逻辑验证时,禁止获取和留存用户信息和信息系统文件信息;

7.2

在执行数据库查询条件,可获得数据库实例、库表名称等信息证明时,禁止再查询涉及个人信息、业务信息的详细数据;

7.3

在获得系统主机、设备高权限,可得到当前用户系统环境信息证明时,禁止再获取其他用户数据和业务数据信息;

7.4

禁止利用当前主机或设备作为跳板,对目标网络内部区域进行扫描测试行为;

7.5

禁止进行有可能导致目标网络、主机、设备瘫痪的大流量、大规模扫描行为;

7.6

禁止可导致本地、远程拒绝服务危害的技术验证行为

7.7

禁止可能导致整体业务逻辑扰动、产生用户或企业经济财产损失的技术验证行为

7.8

在获得信息系统后台功能操作权限,得到当前用户角色属性证明时,禁止再利用系统功能实施编辑、增删、篡改等操作;

7.9

在获得系统主机、设备、数据库高权限,得到当前系统环境信息证明时,禁止再执行文件、程序、数据的编辑、增删、篡改等操作;

7.9

对于信息系统可上传解析、执行文件,获得解析和执行权限逻辑证明时,禁止保留带有控制性目的程序、代码。

第八条 知识产权
8.1

项目发起者拥有被测试产品或项目的知识产权或授权使用权或授权运营权。

8.2

北京丁牛科技有限公司是平台的知识产权权利人。平台的一切著作权、商标权、专利权、商业秘密等知识产权,以及与本平台相关的所有信息内容(包括但不限于文字、图片、音频、视频、图表、界面设计、版面框架、有关数据或电子文档等)均受中华人民共和国法律法规和相应的国际条约保护,北京丁牛科技有限公司享有上述知识产权。

8.3

未经项目发起者书面同意,您不得为任何商业或非商业目的自行或许可任何第三方实施、利用、转让项目发起者拥有的知识产权。

8.4

未经平台书面同意,您不得为任何商业或非商业目的自行或许可任何第三方实施、利用、转让平台知识产权,平台保留追究上述行为法律责任的权利。

第九条 违约责任
9.1

若平台自行发现或根据相关部门的信息、权利人的投诉等发现,您存在违反有关法律、法规、规章及其他法律规范或协议约定的行为,平台有权根据自己的独立判断采取以下一种或多种措施:

9.1.1

要求您立即更换、修改、删除内容;

9.1.2

扣除您已获得的奖励;

9.1.2

将您列入黑名单;

9.1.2

直接删除、屏蔽相关内容或断开链接等;

9.1.2

暂停、中断、终止您使用服务或参与项目;

9.1.2

终止协议;

9.1.2

追究您的法律责任。

9.2

由于您自身行为所导致或产生的任何处罚、调查、指控、索赔或要求,或由此导致任何损失,均需您自行承担费用解决,并自行承担相应责任。如因您的行为导致任何第三方针对平台包括平台的供货商、客户或员工提出任何处罚、调查、指控、索赔或要求,一经收到平台的通知,您应立即承担费用为平台包括平台的供货商、客户或员工提供抗辩并使平台包括平台的供货商、客户或员工免受任何损害。同时平台保留就您的行为给平台导致的损失向您索赔的权利。您应承担的费用包括但不限于赔偿金、罚金、公关费、调查费、差旅费、诉讼费、仲裁费、律师费等。

9.3

如主管部门下达涉及您的账户、服务、设备的禁令或类似通知的,平台将配合执行有关指令,在主管部门允许的情况下尽可能及时地通知您。此情况下,平台不承担违约责任。

9.4

平台在您违约后继续履行本协议的,不得视为平台对您违约责任的免于追究。平台免予追究您一次或多次未履行本协议义务相关责任的,不得被解释为平台对您任何随后的违反协议或不履行本协议责任的不予追究。

第十条 通告
10.1

所有致您的通告均可通过网页公告、网页提示、电子邮件、站内信、手机短信等方式中的一种或多种方式进行传送。其他重要事项均可以此形式进行。

10.2

该通告于发送或公告之日视为已送达收件人。因为特殊原因(特殊原因包括但不限于:您提供的电子邮箱失效、设有邮件过滤、拦截功能或您的手机停用、停机、设有过滤、拦截功能)导致您的电子邮件地址或手机号码无法成功收到平台向您所提供的电子邮箱或手机发送的通告,或因您提供的相关联系信息错误或变更未及时通知平台所致,平台不承担责任。

第十一条 其他
10.1

本协议的订立、执行和解释及争议的解决均应适用中华人民共和国法律。

10.1

如双方就本协议内容或其执行发生任何争议,双方应尽量友好协商解决;协商不成时,双方一致同意交由北京丁牛科技有限公司所在地法院管辖。

10.1

如本协议中的任何条款无论因何种原因完全或部分无效或不具有执行力,本协议的其余条款仍应有效并且有约束力。

10.1

平台可对本协议随时更新,更新后的协议条款一旦公布即代替原来的协议条款,不再另行通知,您可在本网站查阅最新版协议条款。

10.1

本协议解释权及修订权归北京丁牛科技有限公司所有。

用户隐私协议
【平台名】(或称“平台”、“本网站”)是北京丁牛科技有限公司旗下的漏洞测试服务平台。您在使用我们的服务时,我们可能会收集和使用您的相关信息。我们希望通过本《隐私政策》向您说明,在使用我们的服务时,我们如何收集、使用、储存和分享这些信息,以及我们为您提供的访问、更新、控制和保护这些信息的方式。
本《隐私政策》适用于与您本网站中的所有交互操作,希望您仔细阅读,在需要时,按照本《隐私政策》的指引,作出您认为适当的选择。
您使用或继续使用我们的服务,即意味着同意我们按照本《隐私政策》收集、使用、储存和分享您的相关信息。
第一条 定义
1.1

我们可能收集的信息

1.1.1

我们提供服务时,可能会收集、储存和使用下列与您有关的信息。如果您不提供相关信息,可能无法注册成为我们的用户或无法享受我们提供的某些服务,或者无法达到相关服务拟达到的效果。我们可能收集的信息包括您提供的信息

  1. 1.1.1.1

    您在注册账户或使用我们的服务时,向我们提供的相关个人信息,例如电话号码、电子邮件地址或银行卡号等。当您在平台创建一个账号,您会被要求提供姓名、用户名、密码以及邮件地址。平台会存储这些信息以便验证您的身份并帮助您和其他用户进行交流。如果您愿意,可以使用假名或笔名来代替您的真实姓名。

  2. 1.1.1.2

    您通过我们的服务向其他方提供的共享信息,以及您使用我们的服务时所储存的信息

除了您的邮件地址和手机号码,您在平台提交的其他信息是公开的。公开的信息意味着包括搜索引擎在内的任何非平台的用户都能够看到这些信息。

1.2

其他方分享的您的信息

1.2.1

其他方使用我们的服务时所提供有关您的共享信息。

1.3

我们会自动收集的信息

当您访问平台时,一些信息会被自动收集。这些信息包括:

1.3.1

您访问我们的网站时所使用的设备、浏览器、操作系统;

1.3.2

您从哪个网站跳转到平台;

1.3.3

每次访问的具体日期和时间。

如果您以登录状态访问了平台,我们还会收集为您的账号所分配的用户ID。

1.4

Cookie政策

Cookies是您访问过的网站在您的电脑中保存的小数据文件,以此来帮助这些网站记住关于您个人的特定信息。当您登录平台的账号时,我们会放置一个包含您登录状态信息的Cookie并用来创建会话。Cookie中包含了加密的用户标识。

大多数浏览器都会具有清理Cookies或拒绝添加新Cookie的功能。然而如果您拒绝添加新的Cookies,平台的部分功能将无法被正常使用。

第二条 我们可能如何使用信息
2.1

我们可能将在向您提供服务的过程之中所收集的信息用作下列用途

2.1.1

向您提供服务;

2.1.2

在我们提供服务时,用于身份验证、客户服务、安全防范、诈骗监测、存档和备份用途,确保我们向您提供的产品和服务的安全性;

2.1.3

帮助我们设计新服务,改善我们现有服务;

2.1.4

使我们更加了解您如何接入和使用我们的服务,从而针对性地回应您的个性化需求,例如语言设定、位置设定、个性化的帮助服务和指示,或对您和其他用户作出其他方面的回应;

2.1.5

向您提供与您更加相关的广告以替代普遍投放的广告;

2.1.6

评估我们服务中的广告和其他促销及推广活动的效果,并加以改善;

2.1.7

软件认证或管理软件升级;

2.1.8

让您参与有关我们产品和服务的调查。

第三条 我们可能分享的信息

除以下情形外,未经您同意,我们以及我们的关联公司不会与任何第三方分享您的个人信息:

3.1

我们以及我们的关联公司,可能将您的个人信息与我们的关联公司、合作伙伴及第三方服务供应商、承包商及代理(例如代表我们发出电子邮件或推送通知的通讯服务提供商、为我们提供位置数据的地图服务供应商)分享(他们可能并非位于您所在的法域),用作下列用途:

3.3.1

向您提供我们的服务;

3.3.2

实现“我们可能如何使用信息”部分所述目的;

3.3.3

履行我们在本《隐私政策》中的义务和行使我们的权利;

3.3.3

理解、维护和改善我们的服务。

如我们或我们的关联公司与任何上述第三方分享您的个人信息,我们将努力确保该等第三方在使用您的个人信息时遵守本《隐私政策》及我们要求其遵守的其他适当的保密和安全措施。

3.2

随着我们业务的持续发展,我们以及我们的关联公司有可能进行合并、收购、资产转让或类似的交易,您的个人信息有可能作为此类交易的一部分而被转移。我们将在转移前通知您。。

3.3

我们或我们的关联公司还可能为以下需要而保留、保存或披露您的个人信息:

3.3.1

遵守适用的法律法规;

3.3.2

遵守法院命令或其他法律程序的规定;

3.3.3

遵守相关政府机关的要求;

3.3.3

为遵守适用的法律法规、维护社会公共利益,或保护我们的客户、我们或我们的集团公司、其他用户或雇员的人身和财产安全或合法权益所合理必需的用途。

第四条 您如何访问和控制自己的个人信息

我们将尽一切可能采取适当的技术手段,保证您可以访问、更新和更正自己的注册信息或使用我们的服务时提供的其他个人信息。在访问、更新、更正和删除前述信息时,我们可能会要求您进行身份验证,以保障账户安全。

第五条 信息安全

我们仅在本《隐私政策》所述目的所必需的期间和法律法规要求的时限内保留您的个人信息。

我们使用各种安全技术和程序,以防信息的丢失、不当使用、未经授权阅览或披露。例如,在某些服务中,我们将利用加密技术(例如SSL)来保护您提供的个人信息。但请您理解,由于技术的限制以及可能存在的各种恶意手段,在互联网行业,即便竭尽所能加强安全措施,也不可能始终保证信息百分之百的安全。您需要了解,您接入我们的服务所用的系统和通讯网络,有可能因我们可控范围外的因素而出现问题。

第六条 信息安全相关保护和声明

漏洞提交者需要保证研究漏洞的方法、方式、工具及手段的合法性,平台对此不承担任何法律责任。平台及团队尽量保证信息的可靠性,但是不绝对保证所有信息来源的可信,其中漏洞证明方法可能存在攻击性,但是一切都是为了说明问题而存在,平台对此不负担任何责任。企业在平台注册时需要确认能够代表企业身份授权漏洞提交者发现安全问题并且对安全问题及时处理和响应,平台对企业内部流程导致的问题不负担任何责任。

第七条 账号注销

您可以在任何时候注销您的平台账号。这意味着您的所有用户资料在我们的网站中不再可见。然而您所提交的公开的漏洞报告以及相关信息依然会在平台中看到。因此我们不能完全删除您的账号。

第八条 不满13岁的儿童

我们欢迎未成年人向平台提交报告。但是儿童在线隐私保护政策限制我们收集不满13岁的未成年人的信息。平台并不直接面向12岁及以下的儿童。如果您不满13岁并且想提交漏洞报告,请让您的家长或监护人来为您提交。如果我们意识到已经收集了不满13岁儿童的信息,我们将会删除这些信息。

第九条 变更

我们可能适时修订本《隐私政策》的条款,该等修订构成本《隐私政策》的一部分。如该等修订造成您在本《隐私政策》下权利的实质减少,我们将在修订生效前通过在主页上显著位置提示或向您发送电子邮件或以其他方式通知您。在该种情况下,若您继续使用我们的服务,即表示同意受经修订的本《隐私政策》的约束。

第十条 联系

如果您有任何关于本《隐私政策》的疑问、顾虑或者反馈,您可以随时联系【邮箱】告知我们。

托管项目指长期托管在知守安全众测平台的安全测试项目,面向所有平台注册白帽开放。

用户注册协议
【平台名】(或称“平台”、“本网站”)是北京丁牛科技有限公司旗下的漏洞测试服务平台。在您成为我们的注册用户前,请务必先仔细阅读、充分理解本协议各条款内容,特别是各方的权利义务、免除或者限制责任的条款、管辖与法律适用条款。如果您未满18周岁,请在法定监护人的陪同下阅读本协议。一旦您完成账号注册,则意味着完全接受并同意本协议项下条款和内容。
第一条 用户注册协议
1.1

您有权拥有自己在平台的用户名及密码,并有权使用自己的用户名及密码随时登录平台。

1.2

您可以在平台上发表评论。

1.3

您可以在平台上参与项目漏洞检测。

1.4

您可以向平台提交以合法途径获取的漏洞、威胁情报以及原创POC

1.5

您可以根据平台奖励规则获得相应的虚拟物品奖励、现金奖励及荣誉奖励

1.6

您可以对漏洞审核结果向平台提出异议,平台需给出合理解释。

1.7

您可以查看平台上公布的公开研究数据。

1.8

您的个人信息依法受到保护。

第二条 注册用户的义务
2.1

注册用户必须是具备完全民事权利能力和完全民事行为能力的自然人

2.2

完成注册程序并通过实名身份认证的用户可成为平台的正式用户。正式用户即获得平台规定用户所应享有的一切权利;未经认证仅享有平台规定的部分用户权利。平台有权对用户的权限设计进行变更。

2.3

在注册时须提供自己的真实资料,并保证诸如您的身份证件信息、电子邮件地址、联系电话、联系地址、邮政编码等内容的有效性及安全性,保证平台可以通过上述联系方式与您进行联系。同时,您也有义务在相关资料实际变更时及时更新有关注册资料。如果因您未及时、准确、完整更新有关信息并通知平台,由此带来的任何损失、费用增加以及其他法律责任全部由您自行承担。

2.4

如有合理理由怀疑您提供的资料错误、不实、过时或不完整的,平台有权发通知向您核实或要求您改正,并有权直接删除相应资料,直至中止、终止向您提供部分或全部服务。平台对此不承担任何责任,因此产生的任何直接或间接损失及不利后果均由您承担。

2.5

您的账户和密码应由您妥善保管,并正确、安全地使用,因您未能保管好该账户和密码而导致的法律责任由您全部承担。若因为您自身原因,而导致账号、密码遭他人非法使用时,平台不负责处理。您自身原因包括但不限于:任意向第三者透露账号和密码及所有注册资料;多人共享同一个账号;安装非法或来路不明的程序;将已经登陆账号的设备提供给他人使用等。

2.6

不得擅自转让自己的账户和密码给他人使用。任何通过注册账户编辑、发布的信息或做出的任何行为都被视为是该账户所属用户自己的行为。

2.7

您的保密义务

2.7.1

上传、发布、传播或以其他方式传送含有下列内容之一的信息:

  1. 2.7.1.1

    反对宪法所确定的基本原则的;

  2. 2.7.1.2

    危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一,损害国家荣誉和利益的;

  3. 2.7.1.3

    本项目相关设备数量、型号、配置、安装地点等信息;

  4. 2.7.1.4

    煽动民族仇恨、民族歧视、破坏民族团结的;

  5. 2.7.1.5

    破坏国家宗教政策,宣扬邪教和封建迷信的;

  6. 2.7.1.6

    散布谣言,扰乱社会秩序,破坏社会稳定的;

  7. 2.7.1.7

    散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;

  8. 2.7.1.8

    侮辱或者诽谤他人,侵害他人合法权利的;

  9. 2.7.1.9

    含有虚假、有害、胁迫、侵害他人隐私、骚扰、粗俗、猥亵或其他道德上令人反感的内容的;

2.7.2

不得为任何非法目的而使用平台及平台提供的相关信息:

  1. 2.7.2.1

    不得利用平台进行任何可能对互联网或移动网正常运转造成不利影响的行为;

  2. 2.7.2.2

    不得利用平台提供的网络服务上传、发布或传播虚假、有害、骚扰、粗俗或其他任何非法的信息资料;

  3. 2.7.2.3

    不得侵犯其他任何第三方的专利权、著作权、商标权、名誉权或其他任何合法权益;

  4. 2.7.2.4

    不得利用平台网络服务系统进行任何不利于平台的行为。

2.7.3

不得为任何非法目的而使用平台及平台提供的相关信息:

  1. 2.7.3.1

    未经允许,进入计算机信息网络或者使用计算机信息网络资源的;

  2. 2.7.3.2

    未经允许,对计算机信息网络功能进行删除、修改或者增加的;

  3. 2.7.3.3

    未经允许,对进入计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的;

  4. 2.7.3.4

    故意制作、传播计算机病毒等破坏性程序的;

  5. 2.7.3.5

    其他危害计算机信息网络安全的行为;

  6. 2.7.3.6

    测试行为造成了对机构的攻击行为,包括但不限于数据泄露、数据丢失、服务异常、访问缓慢等;

  7. 2.7.3.7

    测试行为造成了对机构的声誉影响,包括但不限于曝光机构漏洞、勒索机构、倒卖机构数据、利用社会工程学欺骗机构等;

  8. 2.7.3.8

    测试行为造成了对机构的事实性损害,包括但不限于经济损失、名誉损害等。

2.8

不得将相关漏洞通过其他任何形式包括其他平台、线上及线下任何形式载体重复提交、上传或公布。

2.9

平台可对本协议随时更新,更新后的协议条款一旦公布即代替原来的协议条款,不再另行通知,用户可在本网站查阅最新版协议条款。在平台修改协议条款后,如果用户不接受修改后的条款,请立即停止使用平台提供的服务,用户继续使用平台提供的服务将被视为接受修改后的协议。

第三条 平台的权利义务
3.1

平台拥有本协议中有关产品及服务的所有权,平台应当负责产品及服务的基本硬件配置和服务器日常硬件维护及故障的排除,并努力提升和改进技术。

3.2

平台有权对您的注册资料进行查阅,发现注册资料中存在任何问题或怀疑,均有权向您发出询问及要求改正的通知或者直接作出删除等处理。

3.3

平台可随时直接以电子邮件或其他方式与您联系,或向您发送信息。以电子邮件形式发送信息的,信息一经发出,即视为送达。

3.4

平台如发现您有本协议禁止或非法的行为时,可向您发出警告,如您未能及时采取有效措施的,平台有权暂停、中断或终止服务,并保留追究您法律责任的权利。

3.5

平台有权定期或不定期对服务平台或相关设备进行检修、维护、升级、机房迁移等常规维护,但应提前24小时通知您,您对平台的前述常规维护工作具有配合支持的义务。如因常规维护造成服务在合理时间内暂停或中断的,平台不承担违约责任。对于您不配合平台完成服务产品升级、机房迁移工作而造成的任何后果,由您自行承担。

第四条 违约责任
4.1

您的保密义务

4.1.1

若平台自行发现或根据相关部门的信息、权利人的投诉等发现,您存在违反有关法律、法规、规章及其他法律规范或本协议约定的行为,平台有权根据自己的独立判断采取以下一种或多种措施:

  1. 4.1.1.1

    要求您立即更换、修改、删除内容;

  2. 4.1.1.2

    将您列入黑名单;

  3. 4.1.1.3

    直接删除、屏蔽相关内容或断开链接等;

  4. 4.1.1.4

    暂停、中断、终止您使用服务;

  5. 4.1.1.5

    终止协议;

  6. 4.1.1.6

    追究贵方的法律责任。

4.2

服务期间,如主管部门下达涉及您的账户、服务、设备的禁令或类似通知的,平台将配合执行有关指令,在主管部门允许的情况下尽可能及时地通知您。此情况下,平台不承担违约责任。

4.3

平台在您违约后继续履行本协议的,不得视为平台对您违约责任的免于追究。平台免予追究您一次或多次未履行本协议义务相关责任的,不得被解释为平台对您任何随后的违反协议或不履行本协议责任的不予追究。

第五条 责任范围及责任限制
5.1

平台仅对本协议中明确载明的责任范围承担责任。如果您通过使用本协议项下产品或服务,将获取使用来自第三方的产品或服务,您还可能受限于该等第三方的协议,平台对此不承担任何责任。

5.2

由于您自身行为所导致或产生的任何处罚、调查、指控、索赔或要求,或由此导致任何损失,均需您自行承担费用解决,并自行承担相应责任。如因您行为导致任何第三方针对平台包括平台的供货商、客户或员工提出任何处罚、调查、指控、索赔或要求,一经收到平台的通知,您应立即承担费用为平台包括平台的供货商、客户或员工提供抗辩并使平台包括平台的供货商、客户或员工免受任何损害。同时平台保留就您的行为给平台导致的损失向您索赔的权利。您应承担的费用包括但不限于赔偿金、罚金、公关费、调查费、差旅费、诉讼费、仲裁费、律师费等。

第六条 通告
6.1

所有致您的通告均可通过网页公告、网页提示、电子邮件、站内信等方式中的一种或多种方式进行传送。其他重要事项均可以此形式进行。

6.1

该通告于发送或公告之日视为已送达收件人。因为特殊原因(特殊原因包括但不限于:您提供的电子邮箱失效、您的邮箱设有邮件过滤、邮件拦截功能)导致您的电子邮件地址无法成功收到平台向您所提供的电子邮箱发送的通告,或因您提供的联系人或相关联系信息错误或变更未及时通知平台所致,平台不承担责任。

第七条 其他
7.1

本协议的订立、执行和解释及争议的解决均应适用中华人民共和国法律。

7.2

如双方就本协议内容或其执行发生任何争议,双方应尽量友好协商解决;协商不成时,双方一致同意交由北京丁牛科技有限公司所在地法院管辖。

7.3

如本协议中的任何条款无论因何种原因完全或部分无效或不具有执行力,本协议的其余条款仍应有效并且有约束力。

7.4

本协议解释权及修订权归北京丁牛科技有限公司所有。

行为规范
在互联网大环境下,DigApis漏洞响应平台作为中立、公益、负责的第三方漏洞响应平台,我们坚持为白帽子提供公益性平台,为企业网络保驾护航。白帽子在DigApis平台发现以及提交漏洞是应遵守此《白帽子行为规则》。
为加强平台注册白帽子身份界定,建立白帽子认证和管理机制,白帽子注册时必须通过Email的验证,并确保认证信息的真实性和可靠性。

白帽子在使用DigApis平台的相关服务时,必须遵守中华人民共和国相关法律法规的规定,白帽子应同意将不会利用本平台进行任何违法或不正当的活动,并应承诺遵守下列条款(包括但不限于下列条款内容)∶

第一条 为加强白帽子漏洞提交规范,平台禁止以下行为:
1)

禁止在平台提交虚假漏洞信息,一经发现并证实后,我们将根据情况扣除其信誉值,情节严重者做封号处理;

2)

禁止将提交至本平台的漏洞透漏给除DigApis平台之外的第三方,透露给第三方造成的任何损失均由白帽子个人承担,违反规定者我们将根据情况扣除信誉值,情节严重者做封号处理;

3)

禁止公开在平台提交的漏洞详情及漏洞相关的任何细节,避免给厂商带来商业利益、商业信誉的损失,违反规定者我们将根据情况扣除信誉值,情节严重者做封号处理。

第二条 白帽子在漏洞风险发现与技术验证过程中必须注意以下行为 :
1)

白帽子在漏洞风险发现与技术验证过程中必须要保证研究漏洞的方法、方式、工具及手段的合法性;

2)

在漏洞挖掘时实现非授权访问或用户权限越权,在完成非授权逻辑、越权逻辑验证时,不应再获取和留存用户信息和信息系统文件信息;

3)

在漏洞挖掘时可执行数据库查询条件,获得数据库实例、库表名称等信息证明时,不应再查询 涉及个人信息、业务信息的详细数据;

4)

在漏洞挖掘时获得系统主机、设备高权限,在获得当前用户系统环境信息证明时,不应再获取其他用户数据和业务数据信息。

5)

在漏洞挖掘时禁止利用当前主机或设备作为跳板,对目标网络内部区域进行扫描测试。

6)

在漏洞挖掘时应充分估计目标网络、系统的安全冗余,不应进行有可能导致目标网络、主机、设备瘫痪的大流量、大规模扫描;

7)

在漏洞挖掘时禁止执行可导致本地、远程拒绝服务危害的技术验证用例;

8)

在漏洞挖掘时禁止执行有可能导致整体业务逻辑扰动、有可能产生用户经济财产损失的技术验证用例;

9)

在漏洞挖掘时获得信息系统后台功能操作权限,获得当前用户角色属性证明时,不应再利用系统功能实施编辑、增删、篡改等操作;

10)

在漏洞挖掘时获得系统主机、设备、数据库高权限,获得当前系统环境信息证明时,不应再执行文件、程序、数据的编辑、增删、篡改等操作。

11)

在漏洞挖掘时信息系统上传可解析、可执行文件,在获得解析和执行权限逻辑证明时,不应驻留带有控制性目的程序、代码。

第三条 不得为任何非法目的而使用DigApis平台漏洞及DigApis平台漏洞提供的相关信息:
1)

不得利用DigApis漏洞响应平台进行任何可能对厂商、互联网或移动网正常运转造成不利影响的行为;

2)

不得利用DigApis漏洞响应平台提供的网络服务上传、展示或传播任何虚假的、骚扰性的、中伤他人的、辱骂性的、恐吓性的、庸俗淫秽的或其他任何非法的信息资料;

3)

不得侵犯其他任何第三方的专利权、著作权、商标权、名誉权或其他任何合法权益;

4)

不得利用DigApis平台网络服务系统进行任何不利于补天漏洞响应平台的行为;

第四条 禁止上载、展示、张贴、传播或以其它方式传送含有下列内容之一的信息 :
1)

反对宪法所确定的基本原则的;

2)

危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;

3)

损害国家荣誉和利益的;

4)

煽动民族仇恨、民族歧视、破坏民族团结的;

5)

破坏国家宗教政策,宣扬邪教和封建迷信的;

6)

散布谣言,扰乱社会秩序,破坏社会稳定的;

7)

散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;

8)

侮辱或者诽谤他人,侵害他人合法权利的;

9)

含有虚假、有害、胁迫、侵害他人隐私、骚扰、侵害、中伤、粗俗、猥亵、或其它道德上令人反感的内容;

10)

含有中国法律、法规、规章、条例以及任何具有法律效力之规范所限制或禁止的其它内容的;

第五条 不利用DigApis漏洞服务和网站相关信息从事以下活动 :
1)

未经允许,进入计算机信息网络或者使用计算机信息网络资源的;

2)

未经允许,对计算机信息网络功能进行删除、修改或者增加的;

3)

未经允许,对进入计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的;

4)

故意制作、传播计算机病毒等破坏性程序的;

5)

其他危害计算机信息网络安全的行为。