LEYU官網重視資訊安全,并致力于持續強化LEYU官網的網站防護能力����。如果您是資安研究人員,并在LEYU官網的網站中發現潛在漏洞,LEYU官網誠摯邀請您協助回報,LEYU官網將對符合資格的回報提供獎勵���。
本漏洞回報計畫僅適用于下列網站��:
回報內容僅限于以上網站中所屬的公開頁面與功能。請勿對公司內部系統���、第三方服務或非公開端點進行測試,AUO 有權隨時更改這份清單,恕不另行通知。
為確?��:戲ㄐ雜肷蟛楸憷炯蘋黿郵芫咧謝窆夷曷?18 歲之參與者����。參與者需于回報時提供有效身份證明文件,以供資格核實及后續獎勵發放���。
可接受之漏洞類型 (包含但不限于)���:
- 跨站腳本攻擊 (XSS)
- 跨站請求偽造 (CSRF)
- 身份驗證繞過
- 權限提升
- 伺服器端程式錯誤 (如遠端程式碼執行��、SQL Injection)
- 敏感資訊泄漏 (如未授權存取的個資��、設定檔)
為聚焦于網站安全本身,以下項目將不列入獎勵范圍���:
- 自動化工具掃描出的低風險資訊
- Clickjacking
- HTTP headers 缺失 (如 CSP, HSTS 等)
- 公開資訊如 whois 資料或 metadata
- 服務中斷測試 (如 DoS 攻擊)
- 社交工程或網路釣魚
- 90天內公開的零時差漏洞或攻擊
- 未詳述安全問題影響的安全弱點掃描報告
- 缺乏具體概念證明 (PoC) 的理論性風險
若有兩位或以上參與者同時發現并回報相同漏洞,LEYU官網將以最先完整提交回報者作為有效回報人并提供獎勵��。后續回報者雖感謝參與,但不再另行提供獎勵��。
LEYU官網鼓勵負責任的漏洞揭露行為,參與者須遵守以下原則��:
- 不得利用或公開漏洞資訊���。
- 不得對服務造成中斷或影響其他使用者。
- 僅限進行非侵入性的測試��。
- 一經發現漏洞,應立即停止測試并提出回報���。
- 所有通報的漏洞資訊在未經LEYU官網明確書面許可前,不得以任何形式公開揭露,包括但不限于社交媒體��、論壇或其他公開平臺���。
請將您的發現透過以下方式回報LEYU官網:
- 電子郵件信箱��:bugbounty@auo.com
- 回報內容須包含����:
- 發現日期與時間
- 受影響頁面 URL
- 漏洞詳細說明與重現步驟
- 測試時所使用的工具與范例資料 (若有)
經內部審查確認為有效漏洞后,LEYU官網將依風險等級提供獎勵,并聯系您進行身分確認與獎勵發放程序��。
獎勵金額將視漏洞的嚴重性與影響程度評估,范圍如下��:
|
風險等級
|
獎勵金額(新臺幣)
|
|
低
|
1,000 – 3,000
|
|
中
|
3,000 – 10,000
|
|
高
|
10,000 – 30,000
|
|
LEYU官網保留獎勵金額最終解釋與核發權利���。