我们重视资讯安全,并致力于持续强化我们的网站防护能力。如果您是资安研究人员,并在我们的网站中发现潜在漏洞,我们诚挚邀请您协助回报,我们将对符合资格的回报提供奖励。

 

 

计画范围

本漏洞回报计画仅适用于下列网域:

https://www.zyxd19.com

 

回报内容仅限于以上网站中所属的公开页面与功能。请勿对公司内部系统、第三方服务或非公开端点进行测试,AUO 有权随时更改这份清单,恕不另行通知。

 

 

资格条件

为确保合法性与审查便利,本计画仅接受具中华民国国籍且年满 18 岁之参与者。参与者需于回报时提供有效身份证明文件,以供资格核实及后续奖励发放。

 

可接受之漏洞类型 (包含但不限于):

 

  • 跨站脚本攻击 (XSS)
  • 跨站请求伪造 (CSRF)
  • 身份验证绕过
  • 权限提升
  • 伺服器端程式错误 (如远端程式码执行、SQL Injection)
  • 敏感资讯泄漏 (如未授权存取的个资、设定档)

 

不在奖励范围之项目

为聚焦于网站安全本身,以下项目将不列入奖励范围:

 

  • 自动化工具扫描出的低风险资讯
  • Clickjacking
  • HTTP headers 缺失 (如 CSP, HSTS 等)
  • 公开资讯如 whois 资料或 metadata
  • 服务中断测试 (如 DoS 攻击)
  • 社交工程或网路钓鱼
  • 90天内公开的零时差漏洞或攻击
  • 未详述安全问题影响的安全弱点扫描报告
  • 缺乏具体概念证明 (PoC) 的理论性风险

 

 

回报顺位原则

若有两位或以上参与者同时发现并回报相同漏洞,我们将以最先完整提交回报者作为有效回报人并提供奖励。后续回报者虽感谢参与,但不再另行提供奖励。

 

 

责任揭露政策

我们鼓励负责任的漏洞揭露行为,参与者须遵守以下原则:

 

  • 不得利用或公开漏洞资讯。
  • 不得对服务造成中断或影响其他使用者。
  • 仅限进行非侵入性的测试。
  • 一经发现漏洞,应立即停止测试并提出回报。
  • 所有通报的漏洞资讯在未经我们明确书面许可前,不得以任何形式公开揭露,包括但不限于社交媒体、论坛或其他公开平台。

 

 

回报流程

请将您的发现透过以下方式回报我们:

 

  • 电子邮件信箱:bugbounty@zyxd19.com
  • 回报内容须包含:
    • 发现日期与时间
    • 受影响页面 URL
    • 漏洞详细说明与重现步骤
    • 测试时所使用的工具与范例资料 (若有)

 

经内部审查确认为有效漏洞后,我们将依风险等级提供奖励,并联系您进行身分确认与奖励发放程序。

 

 

奖励机制

奖励金额将视漏洞的严重性与影响程度评估,范围如下:

 

风险等级

奖励金额(新台币)

1,000 – 3,000

3,000 – 10,000

10,000 – 30,000

我们保留奖励金额最终解释与核发权利。