安全的 BlancVPN
漏洞赏金计划
全球数千名用户信任我们保管他们的数据。我们有责任谨慎保护用户的安全和隐私。
帮助我们让BlancVPN更安全:报告漏洞并获得奖励。
发现漏洞?请将报告发送至 [email protected]
重要
计划规则
提交要求、评估标准和奖励流程。
奖励由我们的安全团队根据具体情况决定。主要因素是该问题可能对用户数据造成的影响程度。
奖金可能会根据以下因素而有所不同:
前提条件:利用是否需要额外的非标准条件,例如:
- 不寻常的用户设置
- BlancVPN 软件的自定义构建或非标准配置
- 不可靠的利用成功率(取决于环境条件)
- 需要提升的权限、已 root/越狱的设备和/或物理访问。
- 影响范围: 我们服务的机密性、完整性或可用性可能受到影响的广泛程度。
- 漏洞利用链的价值:该问题是否会导致更广泛的漏洞链和更大的影响。
- 可利用性: 该问题在实际攻击中被利用的可能性。
- 新颖性: 问题是新发现的还是已知/公开的;优先考虑首个有效报告。
- 报告质量:一份好的报告应包含可重现的概念验证或清晰展示影响的路径。最好提供代码或伪代码。
漏洞类型
我们接受任何可能影响用户隐私或其数据完整性的漏洞报告。以下是一些常见示例:
已接受的报告
使用 BlancVPN 应用程序时出现真实 IP/DNS/WebRTC 泄漏。
身份验证绕过或会话窃取——允许攻击者访问其他用户的账户或进行购买。
敏感数据暴露——私钥、令牌、备份或包含个人身份信息(PII)的日志。
服务器或应用程序中的远程代码执行(RCE)/命令注入。
访问数据库、云资源或内部服务。
支付问题——例如免费订阅激活、无限续订或价格操纵。
不符合条件
DDoS、洪水攻击测试、暴力破解以及任何破坏可用性的测试。
社会工程学或网络钓鱼攻击,针对员工或用户,以及物理访问攻击。
自我XSS、点击劫持或在不暴露敏感数据的页面上缺少安全标头。
报告过时的库但未提供可证明的漏洞利用或影响。
第三方 VPN 客户端(例如 WireGuard、OpenVPN 或 Outline 应用)中的问题。
404/5xx 错误、拼写错误、失效链接和界面显示问题。
价值 = 奖励
我们支付多少
奖励金额取决于漏洞的严重程度。
| 威胁级别 | 支付范围 | 描述 |
|---|---|---|
| 严重 | $15 000 – $50 000 | 允许完全控制服务环境、大规模访问用户数据和支付操作。无需特殊条件或预先访问即可利用。 |
| 高 | $2 000 – $15 000 | 可以提供对服务环境的部分控制权限,并可访问许多用户的数据。不需要特殊条件或预先访问即可利用。 |
| 中等 | $500 – $2 000 | 允许控制服务环境的一小部分并访问许多用户的数据。重现可能需要多个步骤。 |
| 低 | 最高$500 | 难以复现,影响有限。 |
威胁级别
严重
支付范围
$15 000 – $50 000
描述
允许完全控制服务环境、大规模访问用户数据和支付操作。无需特殊条件或预先访问即可利用。
威胁级别
高
支付范围
$2 000 – $15 000
描述
可以提供对服务环境的部分控制权限,并可访问许多用户的数据。不需要特殊条件或预先访问即可利用。
威胁级别
中等
支付范围
$500 – $2 000
描述
允许控制服务环境的一小部分并访问许多用户的数据。重现可能需要多个步骤。
威胁级别
低
支付范围
最高$500
描述
难以复现,影响有限。
有疑问?请联系 [email protected]