如何举报我们基础设施或服务中的安全漏洞,以及后续处理流程。
若您认为发现了影响 cryptoservers.io 或底层基础设施的安全漏洞,请通过以下渠道之一进行举报:
/.well-known/security.txt。在我们有机会响应之前,请勿通过公开渠道(GitHub Issues、Twitter、Mastodon、支持工单)披露漏洞。
cryptoservers.io 网站属性及所有子域名。panel.cryptoservers.io)。/.well-known/ 目录及其签名内容。以美元(USD,银行转账)或您选择的加密货币(BTC、XMR、LTC、ETH、DASH、BCH、DOGE)按授奖当日即期汇率支付。
| 严重程度(CVSS v3.1) | 赏金 | 示例 |
|---|---|---|
| 严重(9.0 – 10.0) | $5,000 – $15,000 | 虚拟机监控程序逃逸、面板远程代码执行、批量个人身份信息泄露 |
| 高危(7.0 – 8.9) | $1,500 – $5,000 | 已认证远程代码执行、面板权限提升、SSRF 进入内网 |
| 中危(4.0 – 6.9) | $300 – $1,500 | 面板存储型 XSS、暴露非个人身份信息的 IDOR |
| 低危(0.1 – 3.9) | $50 – $300 | 开放重定向、无直接影响的缺失速率限制 |
重复举报按首个有效提交原则授奖。我们迄今支付的最高赏金为 $12,000(2025-09-11,虚拟机热迁移 TOCTOU 漏洞)。所有有效研究人员在选择参与的情况下将列入名人堂。
在本政策范围内及精神下开展的研究,在圣基茨法律及我方运营司法管辖区法律下不构成未授权访问,我们不会对善意行事的研究人员提起民事或刑事诉讼。具体而言:
若您出于善意意外超出范围,请立即联系我们,我们将共同妥善处理。