我們重視資訊安全,並致力於持續(xù)強(qiáng)化我們的網(wǎng)站防護(hù)能力。如果您是資安研究人員,並在我們的網(wǎng)站中發(fā)現(xiàn)潛在漏洞,我們誠摯邀請您協(xié)助回報(bào),我們將對符合資格的回報(bào)提供獎(jiǎng)勵(lì)��。
本漏洞回報(bào)計(jì)畫僅適用於下列網(wǎng)站:
回報(bào)內(nèi)容僅限於以上網(wǎng)站中所屬的公開頁面與功能��。請勿對公司內(nèi)部系統(tǒng)��、第三方服務(wù)或非公開端點(diǎn)進(jìn)行測試,AUO 有權(quán)隨時(shí)更改這份清單,恕不另行通知��。
為確?�:戲ㄐ耘c審查便利,本計(jì)畫僅接受具中華民國國籍且年滿 18 歲之參與者���。參與者需於回報(bào)時(shí)提供有效身份證明文件,以供資格核實(shí)及後續(xù)獎(jiǎng)勵(lì)發(fā)放��。
可接受之漏洞類型 (包含但不限於)����:
- 跨站腳本攻擊 (XSS)
- 跨站請求偽造 (CSRF)
- 身份驗(yàn)證繞過
- 權(quán)限提升
- 伺服器端程式錯(cuò)誤 (如遠(yuǎn)端程式碼執(zhí)行���、SQL Injection)
- 敏感資訊洩漏 (如未授權(quán)存取的個(gè)資���、設(shè)定檔)
|
不在獎(jiǎng)勵(lì)範(fàn)圍之項(xiàng)目
|
為聚焦於網(wǎng)站安全本身,以下項(xiàng)目將不列入獎(jiǎng)勵(lì)範(fàn)圍���:
- 自動(dòng)化工具掃描出的低風(fēng)險(xiǎn)資訊
- Clickjacking
- HTTP headers 缺失 (如 CSP, HSTS 等)
- 公開資訊如 whois 資料或 metadata
- 服務(wù)中斷測試 (如 DoS 攻擊)
- 社交工程或網(wǎng)路釣魚
- 90天內(nèi)公開的零時(shí)差漏洞或攻擊
- 未詳述安全問題影響的安全弱點(diǎn)掃描報(bào)告
- 缺乏具體概念證明 (PoC) 的理論性風(fēng)險(xiǎn)
若有兩位或以上參與者同時(shí)發(fā)現(xiàn)並回報(bào)相同漏洞,我們將以最先完整提交回報(bào)者作為有效回報(bào)人並提供獎(jiǎng)勵(lì)��。後續(xù)回報(bào)者雖感謝參與,但不再另行提供獎(jiǎng)勵(lì)��。
我們鼓勵(lì)負(fù)責(zé)任的漏洞揭露行為,參與者須遵守以下原則��:
- 不得利用或公開漏洞資訊��。
- 不得對服務(wù)造成中斷或影響其他使用者���。
- 僅限進(jìn)行非侵入性的測試����。
- 一經(jīng)發(fā)現(xiàn)漏洞,應(yīng)立即停止測試並提出回報(bào)����。
- 所有通報(bào)的漏洞資訊在未經(jīng)我們明確書面許可前,不得以任何形式公開揭露,包括但不限於社交媒體��、論壇或其他公開平臺���。
請將您的發(fā)現(xiàn)透過以下方式回報(bào)我們��:
- 電子郵件信箱���:bugbounty@auo.com
- 回報(bào)內(nèi)容須包含:
- 發(fā)現(xiàn)日期與時(shí)間
- 受影響頁面 URL
- 漏洞詳細(xì)說明與重現(xiàn)步驟
- 測試時(shí)所使用的工具與範(fàn)例資料 (若有)
經(jīng)內(nèi)部審查確認(rèn)為有效漏洞後,我們將依風(fēng)險(xiǎn)等級提供獎(jiǎng)勵(lì),並聯(lián)繫您進(jìn)行身分確認(rèn)與獎(jiǎng)勵(lì)發(fā)放程序����。
獎(jiǎng)勵(lì)金額將視漏洞的嚴(yán)重性與影響程度評估,範(fàn)圍如下��:
|
風(fēng)險(xiǎn)等級
|
獎(jiǎng)勵(lì)金額(新臺幣)
|
|
低
|
1,000 – 3,000
|
|
中
|
3,000 – 10,000
|
|
高
|
10,000 – 30,000
|
|
我們保留獎(jiǎng)勵(lì)金額最終解釋與核發(fā)權(quán)利���。