如何报告
如果你认为发现了 Simplify、Flash Launch 或相关公开界面的漏洞,请发送邮件至 legal@simplify-net.com,并提供清晰描述、复现步骤、受影响 URL 或资产、预期影响,以及任何相关截图或日志。
授权测试
仅当测试出于善意、使用你控制的账户/应用/系统、避免侵犯隐私或扰乱服务,并遵守本政策、安全 页面、服务条款 和适用法律时,测试才被授权。
本政策不授权访问他人数据、破坏性测试、拒绝服务测试、社会工程、网络钓鱼、垃圾信息、物理攻击、恶意软件、凭据攻击、自动化高频扫描、持久化、数据外泄,或针对 Simplify 不控制的第三方系统进行测试。
应包含内容
- 问题的简明摘要。
- 使用你控制的账户或系统进行复现的步骤。
- 潜在安全影响。
- 用于跟进的联系方式。
范围之外
如果报告涉及没有敏感操作页面上的点击劫持、未证明影响的缺失安全标头、没有实际滥用影响的速率限制观察、没有平台漏洞的垃圾信息或社会工程风险、过时浏览器问题,或 Simplify 控制范围外第三方服务中的漏洞,可能被视为范围之外。
响应流程
Simplify 会审查可信报告,并根据受影响界面、严重性、可利用性、法律义务和运营影响作出适当响应。我们可能请求更多信息、尝试复现问题、协调修复,或认定报告不可执行。
公开披露
在 Simplify 有合理机会调查和修复前,请不要公开披露潜在漏洞、利用细节、客户数据、截图、日志或概念验证代码。协调披露应与 Simplify 以书面形式达成一致。
无赏金或法律承诺
本页不构成漏洞赏金计划、付款承诺、雇佣关系、供应商关系、弃权、豁免、超出适用法律的法律安全港,或服务等级承诺。对于违反本政策、服务条款、第三方权利或适用法律的活动,Simplify 保留所有权利。