我們重視資訊安全,並致力於持續強化我們的網站防護能力。如果您是資安研究人員,並在我們的網站中發現潛在漏洞,我們誠摯邀請您協助回報,我們將對符合資格的回報提供獎勵。

 

 

計畫範圍

本漏洞回報計畫僅適用於下列網域:

http://www.whpse.shhmdt.com

 

回報內容僅限於以上網站中所屬的公開頁面與功能。請勿對公司內部系統、第三方服務或非公開端點進行測試,AUO 有權隨時更改這份清單,恕不另行通知。

 

 

資格條件

為確保合法性與審查便利,本計畫僅接受具中華民國國籍且年滿 18 歲之參與者。參與者需於回報時提供有效身份證明文件,以供資格核實及後續獎勵發放。

 

可接受之漏洞類型 (包含但不限於):

 

  • 跨站腳本攻擊 (XSS)
  • 跨站請求偽造 (CSRF)
  • 身份驗證繞過
  • 權限提升
  • 伺服器端程式錯誤 (如遠端程式碼執行、SQL Injection)
  • 敏感資訊洩漏 (如未授權存取的個資、設定檔)

 

不在獎勵範圍之項目

為聚焦於網站安全本身,以下項目將不列入獎勵範圍:

 

  • 自動化工具掃描出的低風險資訊
  • Clickjacking
  • HTTP headers 缺失 (如 CSP, HSTS 等)
  • 公開資訊如 whois 資料或 metadata
  • 服務中斷測試 (如 DoS 攻擊)
  • 社交工程或網路釣魚
  • 90天內公開的零時差漏洞或攻擊
  • 未詳述安全問題影響的安全弱點掃描報告
  • 缺乏具體概念證明 (PoC) 的理論性風險

 

 

回報順位原則

若有兩位或以上參與者同時發現並回報相同漏洞,我們將以最先完整提交回報者作為有效回報人並提供獎勵。後續回報者雖感謝參與,但不再另行提供獎勵。

 

 

責任揭露政策

我們鼓勵負責任的漏洞揭露行為,參與者須遵守以下原則:

 

  • 不得利用或公開漏洞資訊。
  • 不得對服務造成中斷或影響其他使用者。
  • 僅限進行非侵入性的測試。
  • 一經發現漏洞,應立即停止測試並提出回報。
  • 所有通報的漏洞資訊在未經我們明確書面許可前,不得以任何形式公開揭露,包括但不限於社交媒體、論壇或其他公開平台。

 

 

回報流程

請將您的發現透過以下方式回報我們:

 

  • 電子郵件信箱:bugbounty@shhmdt.com
  • 回報內容須包含:
    • 發現日期與時間
    • 受影響頁面 URL
    • 漏洞詳細說明與重現步驟
    • 測試時所使用的工具與範例資料 (若有)

 

經內部審查確認為有效漏洞後,我們將依風險等級提供獎勵,並聯繫您進行身分確認與獎勵發放程序。

 

 

獎勵機制

獎勵金額將視漏洞的嚴重性與影響程度評估,範圍如下:

 

風險等級

獎勵金額(新台幣)

1,000 – 3,000

3,000 – 10,000

10,000 – 30,000

我們保留獎勵金額最終解釋與核發權利。