Hackers

謝謝這些駭客大大們維護 Dcard 的世界和平 <(_ _)>

2014/11/09InndyFailure to Restrict URL Access
2015/02/20OrangeShell Injection
2015/03/21LionbugDictionary Attack
2016/02/23KnowletBroken Authentication and Session Management
2017/12/17MicoReflected Cross-Site Scripting
2018/09/16onc HInformation disclosure, ClickJacking, Email Flooding - Rate limiting on password reset links and Open Redirect
2018/11/02onc HSSL Bypasses Cloudflare Leak IP
2019/08/14yiyu0xBroken Access Control
2020/06/09NothOpen Redirect
2020/06/12HzllagaReflected Cross-Site Scripting
2020/06/17onc HInformation Disclosure
2020/06/19astroicersOpen Redirect
2020/06/25onc HBypassing Verification
2020/06/25HzllagaReflected Cross-Site Scripting
2020/08/01Alan LiInsecure Direct Object References
2020/08/21Alan LiInsecure Direct Object References
2020/09/03Alan LiOpen Redirect
2021/07/19Alan LiOpen Redirect
2021/11/11Alan LiInsecure Direct Object References
2022/08/10boylin0Information Disclosure
2022/10/30Sean LiOpen Redirect
2022/10/30Sean LiInformation Disclosure
2022/10/30Sean LiServer Side Request Forgery

漏洞披露政策

如果您發現 Dcard 系統上的安全漏洞,請立即通知我們,我們會根據您回報內容進行調查,並儘快修正問題。

漏洞披露責任政策

您向 Dcard 回報安全漏洞時,請遵守以下要求:

  1. 請容許我們有足夠的時間調查與解決問題,再行公佈任何有關回報內容的資訊,或是向他人透露相關資訊。
  2. 未經個人帳號持有人同意,請勿與該帳號互動(包括修改或存取該帳號的資料)。
  3. 您能秉持善意,盡力避免侵犯他人隱私或干擾他人,包括(但不限於)未經授權存取或毀損資料,及導致我們的服務中斷或品質下降。
  4. 無論基於何種理由,您皆不得利用發現的安全漏洞為自己謀利(例如試圖侵入公司的機密資料或探尋其他問題等會導致額外風險的行為)。
  5. 請勿蓄意違反任何適用法律或法規,包括(但不限於)禁止未經授權即存取資料的法律和法規。
  6. 基於本政策之目的,您無權存取用戶資料或公司資料,包括(但不限於)可識別自然人的相關個人識別資訊與資料。

漏洞披露獎勵方案條款

漏洞披露獎勵方案的獎金額度,將由 Dcard 根據漏洞影響範圍、風險和其他因素做全權決定。若要符合獎勵資格,您必須滿足以下要求:

  1. 遵守上述漏洞披露責任政策
  2. 您在進行調查時如不慎侵犯他人隱私(如存取帳號資料、接觸其他機密資訊),請務必在回報內容中披露相關資料
  3. 未經同意,請勿與其他帳號互動

獎勵方案方針:

  1. 我們會調查所有有效的漏洞回報,請容許我們有足夠時間調查與解決問題。
  2. 獎勵額度由 Dcard 根據影響範圍、漏洞嚴重性做評估。如果我們決定支付獎金,金額從 3,000 台幣起跳。請注意,如果漏洞導致的風險極低,可能就不符合獎勵資格。
  3. 隨時間與現實條件改變,過去的獎勵方式不見得適用於未來的獎勵制度。
  4. 若出現重複檢舉,我們會將獎金頒發給首位檢舉者。檢舉內容是否重複由 Dcard 認定,其他檢舉的詳細資料恕無法對外提供。頒發的獎金僅可支付給一人。
  5. Dcard 保留公佈回報內容和相關更新資訊的權利。
  6. 我們會核實所有獎項是否遵守適用法律。
  7. 使用 Dcard 服務時,請務必遵守 Dcard 用戶使用協議
  8. 非 Dcard 相關服務,則不符合漏洞披露獎勵方案的參與資格。
  9. 垃圾訊息、社交工程技術、拒絕服務攻擊、內容注入,不符合漏洞披露獎勵方案的參與資格。

請根據以下格式回報,並寄至 bug-bounty@dcard.cc

  1. 聯絡方式
  2. 標題
  3. 敘述
  4. 重製步驟
  5. 附件
  6. 備註

© 2023 狄卡科技股份有限公司