为了能让找BUG的朋友得到大家精神赞扬同时也来点实际点的，我们对每次找BUG的行为进行认可，一经采纳立即发放对应奖励。

1. 界面级BUG：视觉上有错误或者是操作上没那么方便。如界面错位或错别字或者操作流程不顺畅

一经采纳，立即奖励：50~300积分

2.一般的BUG：功能有问题，不能使用。如测试到功能不正常不能使用（自己没看教程或自身原因不算）

一经采纳，立即奖励：100~1000积分

3.重要的BUG：会造成不可逆的重大问题。如使用某功能导致数据丢失

一经采纳，立即奖励：1000~3000积分

我认为，安全漏洞是我们某一产品或基础设施中的薄弱之处，可能会让攻击者影响该产品或基础设施的机密性、完整性或可用性。

我们认为以下类型的发现不属于安全漏洞：

存在或缺少 HTTP 标头（X-Frame-Options、CSP、nosniff，等等）。 它们被视为安全最佳实践，因此我们未将其归类为漏洞。

非敏感 Cookie 缺少与安全相关的属性。本站产品可能会对我们应用程序中使用的 Cookie 设置某些安全相关的属性。非敏感 Cookie 上没有这些标头不会视为安全漏洞。
暴露堆栈轨迹。我们不认为堆栈轨迹本身是安全问题。如果您发现某一堆栈轨迹详细说明了个人身份信息或用户生成的内容，请提交详述具体问题的报告。

我如何报告漏洞？

我们非常重视结构良好且清晰阐述问题的报告。因为这可以让我们复现和理解问题，而且您可以更快地获得更高的报酬。我们推荐阅读这篇文章，了解如何撰写漏洞奖励报告的技巧。

当您的报告准备就绪，请将其发送至 lee@8i5.net;或通过此页面提交我们产品的漏洞报告

什么是合格的漏洞？

• 在我们的任何服务器上执行远程代码，包括SQL注入缺陷。
• 服务器端请求伪造。
• 在任何客户端浏览器上进行远程代码执行；例如，通过跨网站的脚本攻击。
• 任何破坏我们的加密安全模型和允许未经授权的远程访问密钥或数据，或操纵它们的行为。
• 访问控制和认证绕过，可能导致未经授权的覆盖和删除密钥或用户数据。
• 在相关电子邮件地址被危及的情况下，任何危及用户账户数据的问题。

什么是范围之外的漏洞？

• 任何主动要求用户互动的行为，如网络钓鱼和社会工程学攻击。
• 弱用户密码。
• 需要大量的服务器请求才能利用的漏洞。
• 需要被损害的客户端机器的攻击。
• 通过使用不支持的或过时的客户端浏览器发生的问题。
• 任何需要访问物理数据中心的问题（见下文中允许被破坏的服务器的有限范围方案）。
• 第三方运营的服务中的漏洞，如经销商。
• 任何过载、资源耗尽和拒绝服务类型的攻击。
• 任何依赖伪造的SSL证书的情况。
• 任何需要极大计算能力（2^60加密运算或更多）或需要一台量子计算机才能完成的事情，包括据称是可预测的随机数（如果您能够展示实际漏洞而非一般猜测，我们可能会将其视为符合条件的漏洞报告）。
• 任何与安全漏洞无关的错误或问题。