Bug Bounty Policy（有奖捉虫方案）

Paxful公司（亦称为“Paxful”、“我方”、“我们”或“我方的”）采取措施改进产品，并为客户提供安全的解决方案。在本报告漏洞奖励政策（以下简称“政策”）中，我方列出了报告漏洞奖励政策的适用案例，以及在您使用https://paxful.com/网站（包括但不限于Paxful钱包、在线比特币交易平台、移动应用程序、社交媒体页面或其他网上内容（统称为“网站”）时，或者在您使用我们提供的任何产品、服务、内容、特色、技术或功能（统称为“服务”）时，须如何应用该政策。本政策旨在帮助您获取有关如何参与漏洞报告奖励计划的信息，安全适用的研究结果，以及可获得的益处。请注意，我方服务可能因地域差别而有所不同。

出于多种目的，本Bug Bounty Policy（有奖捉虫方案）的英文版本应为原始的管理文书。如果此Bug Bounty Policy（有奖捉虫方案）的英文版本与任何语言的后续翻译出现任何冲突，则英文版本应该作为管理与控制标准。

什么是漏洞报告奖励计划？

为改进Paxful和服务，Paxful漏洞报告奖励计划为用户提供机会，用户发现技术问题时可获得奖励。

如何向我方告知漏洞？

所有此类信息均应发送至[email protected]。提交时，请详细提供漏洞的完整描述以及漏洞存在的可验证证据（解释/复制步骤/截图/视频/脚本或其他材料）。

计划规则

任何违反规则的行为都可能导致失去奖励资格。

仅针对您拥有的账号，或账号持有人同意您进行测试的账号来测试漏洞。
切勿利用发现来破坏/泄漏数据或转向其他系统。仅使用概念证明来说明问题。
若作为漏洞的一部分，访问了敏感信息（例如个人信息，凭据等），则在初次发现之后，不得对其进行保存、存储、传输、访问或以其他方式进行处理。
研究人员不得也未被授权参与任何可能破坏、损害或有害于Paxful的活动。
未经Paxful明确许可，研究人员不得公开披露漏洞（与授权的Paxful员工以外的任何人分享任何细节），或以其他方式与第三方分享漏洞。

我方如何评估您的漏洞报告？

所有发现均采用基于风险的方法进行评估。

保密协议

在我方开始讨论与您在报告漏洞奖励政策下发现的已确认问题相关细节之前，包括报酬等，您须与我方签订保密协议。

我方如何支付漏洞报告计划奖励？

所有上述奖励均由Paxful支付。仅在不违反适用法律法规情形下，包括但不限于贸易制裁和经济限制，才能支付所有奖励。

我方需要多长时间来分析您的漏洞报告？

由于技术问题的多样性和复杂性，我方尚未设立特定的漏洞报告分析时间表。仅当我方确认是否存在漏洞时，我方的分析才完成。

哪些案例不属于漏洞奖励计划？

某些漏洞不在有奖捉虫计划的考虑范围之内。这些范围外的漏洞包括但不限于：

垃圾邮件
需要社会工程/网络钓鱼的漏洞；
DDOS攻击
没有任何实际影响的假想问题；
与Paxful合作的第三方应用程序及第三方网站中的安全漏洞；
扫描工具输出或扫描工具生成的报告；
通过自动化测试发现的问题；
互联网软件公开发布的漏洞（在其披露30天内）
中间人攻击
没有可证明的具体影响的主机头注入；
自跨站脚本攻击，包括受害者输入的任何有效载荷；
登录/退出跨站请求伪造；