回報安全性弱點
TikTok 的任務是啟發使用者的創造力並為大家帶來歡樂。 平台的安全與健康與此任務緊密相關。 若 TikTok 無法正常運作,我們專門的安全團隊會及時作出回應並解決問題。 我們的團隊由經驗豐富的安全專家組成,並且配備行業領先的安全技術,此外,我們還依賴並重視在平台上標記安全技術錯誤的外部輸入。 考量到這一點,我們制定了了一套政策來指導我們的外部合作夥伴正確回報弱點。 歡迎您隨時回報此類弱點,感謝您為保護 TikTok 所盡的心力。
弱點回報政策
• 如對您的個人資料有任何疑問、疑慮或問題,請按一下這裡。
• 如對 TikTok 隱私權政策或詐欺有任何疑問、疑慮或問題,請按一下這裡。
• 若有人濫用您的品牌,請透過以下方式聯絡我們。
若您發現 TikTok 應用程式或網站有任何安全性錯誤或弱點,請在此提交您的報告。 您將被重新導向至 HackerOne 網站, 這是我們信任的安全性錯誤賞金合作夥伴。您可以在該網站取得更多關於提交準則的資訊,並且可以提交報告。
TikTok 遵循「協調性弱點揭露原則」規定。 如需詳細資訊,請參閱 TikTok HackerOne 政策 (TikTok HackerOne Policy)中所定義的 協調性弱點揭露原則 (Disclosure and Confidentiality Policy)。
準則
如需詳細資訊,請參閱 TikTok HackerOne 政策 (TikTok HackerOne Policy) 中的 計畫規則和準則 (Program Rules and Guidelines) 部分。
常見問題 (FAQ)
哪些類型的問題被視為是安全性弱點且應該提出回報?
• 若有技術安全錯誤對 TikTok 造成影響,則應在此處回報相關問題。 包括但不限於以下問題:
• XSS、CSRF、SSRF、SQL 隱碼、ROP、JOP 等
• 敏感憑證洩漏或硬編碼
• 可利用和危險的 API
• 控制流程駭客攻擊
• 使用者資料洩露
• OWASP 所列的前十大網路應用程式問題
• OWASP 所列的前十大行動應用程式問題
• 驗證或授權弱點
• 存取內部 TikTok 資源,例如後端原始碼、資料庫等
• 公開重定向 - 如果可以證明有其他安全性影響
• 在經過身分驗證的端點上存在防止自動化安全繞過,或對其沒有速率限制
• 使用 TikTok 應用程式來提升權限以攻擊行動作業系統
• 在 TikTok 伺服器/用戶端上執行任意程式碼
對已確認的弱點是否提供獎勵、賞金或 CVE?
如需更多賞金相關資訊,請參閱 TikTok HackerOne 政策 (TikTok HackerOne Policy) 中的 獎勵和不符獎勵資格 (Rewards & Not Eligible for Reward) 部分。
我需要多久時間才能發佈調查結果?
我們要求安全調查人員遵守 TikTok HackerOne 政策 (TikTok HackerOne Policy) 中所定義的 協調性弱點揭露原則 (Disclosure and Confidentiality Policy)。
哪些網站網域屬於 TikTok 的範圍?
如需詳細資訊,請參閱 TikTok HackerOne 政策 (TikTok HackerOne Policy) 中的 範圍 (In Scope) 部分。
若我所舉報的安全性問題正在調查中,我如何收到通知?
回報的安全性問題將根據關鍵程度和業務優先等級進行評估,並相應地透過調查分類流程進行處理。 我們會盡力及時向您通報案件的進展。