安全与负责任披露
CATALOID · 生效日期: 2026-06-07
· 最后更新: 2026-06-07
security.txt:
https://catalo.id/.well-known/security.txt
我们认真对待平台安全。如果你发现漏洞,请以负责任的方式报告,方便我们验证、修复并保护用户。
1) 安全联系方式
- 安全邮箱: security@catalo.id
- 对于 billing/refund/账号访问等非安全问题,请使用 联系我们 或发送邮件至 support@catalo.id .
2) 如何报告漏洞
请给安全联系人发送邮件,并提供足够细节,方便我们复现和验证问题。
- 受影响的 URL/功能,以及逐步复现步骤。
- 影响:攻击者可能做什么?
- 安全、非破坏性的 proof-of-concept(如有)。
- 你希望用于后续沟通的联系方式。
注意
请避免发送敏感客户数据。请使用 dummy data,并将测试控制在最低必要范围,避免影响服务。
3) 我们的响应
- 我们目标是在以下时间内确认收到报告: 3 个工作日.
- Triage 和严重性评估通常会在以下时间内完成: 7 个工作日 具体取决于复杂程度。
- 我们可能会要求补充细节以验证报告。
- 修复会根据严重性和风险等级发布。
4) 负责任披露指南
为了保护用户和平台,请在测试和披露时遵守以下指南。
允许
- 进行非破坏性测试,并尽量减少数据暴露。
- 通过安全联系人进行私下报告。
- 提供清晰的复现步骤和证据。
不允许
- 访问、修改或删除不属于你的数据。
- 干扰服务,例如 DDoS、压力测试、spam 或 brute force。
- 社会工程、phishing 或勒索。
5) 范围
范围包括在以下域名运行的网站资产和服务: catalo.id.
如果你不确定某个目标是否在范围内,请先通过安全邮箱询问。
6) security.txt
我们发布标准的安全联系文件 security.txt,让报告更方便。
7) 联系
安全: security@catalo.id · 支持: support@catalo.id