漏洞赏金计划
我们致力于提供最高水平的安全保障,并保护用户数据。如果你在 h2.nexus 发现漏洞,请私下报告,我们将给予奖励——每个有效漏洞 1 至 5000 美元,通过银行卡、加密货币或银行转账支付。
- $1 – $5,000奖励范围
- 银行卡 · 加密货币或银行转账
- < 24 h首次回复
- *.h2.nexus在范围内
关于本计划
我们的漏洞赏金计划奖励那些在整个 h2.nexus 平台上负责任地发现并报告安全漏洞的研究人员——包括网站、计费区、免费服务器终端及其背后的基础设施。目标很简单:在漏洞被滥用之前修复真正的安全问题,并公平地奖励帮助我们的人。
每份报告都会由我们的团队审核。如果你的发现有效、原创且在范围内,我们会根据其严重程度和实际影响支付奖励。问题越严重、演示越清晰,奖励就越高——严重漏洞最高可达 5000 美元。
按严重程度的奖励
奖励取决于漏洞的影响和可利用性。以下区间仅供参考,最终金额将逐案确定。
远程代码执行、绕过身份验证、完全接管账户或服务器、访问其他客户的数据或资金、篡改支付。
具有实际影响的服务端请求伪造(SSRF)、控制面板中的存储型 XSS、暴露敏感数据的 IDOR、权限提升。
有影响的反射型 XSS、对敏感操作的 CSRF、敏感信息泄露、影响范围有限的访问控制缺陷。
错别字、内容错误、视觉或排版问题,以及类似的小问题。
严重程度和最终奖励由 h2.nexus 根据 CVSS、可利用性和实际影响确定。对于重复报告,仅奖励第一份有效提交。
范围
仅测试下列资产,且仅使用属于你自己的账户和数据。
范围内
- h2.nexus 项目的一切,包括所有子域名
- my.h2.nexus — 客户区(BillManager 6)
- vm.h2.nexus — 服务器管理面板(VMManager 6)
- vm-promo.h2.nexus — 促销服务器管理面板(VMManager 6)
- 我们的 Telegram 机器人:@rdpbot、@h2nexus_info_bot、@bgp_robot
- ……以及该项目的其他服务和基础设施
范围外
- 没有可用概念验证的自动扫描器输出
- 没有证明影响的缺失最佳实践响应头
- DoS 和 DDoS — 拒绝服务和资源耗尽攻击
如何报告
一份好的报告能帮助我们快速复现并修复问题——也能让你更快拿到奖励。
- 1
描述漏洞
清晰说明漏洞、受影响的 URL 或接口,以及安全影响。
- 2
附上 PoC
提供准确的复现步骤、所用的请求或载荷,以及截图或一段简短的视频。
- 3
联系我们
将全部内容发送至 root@h2.nexus 并等待我们的回复。在问题修复之前,请对其保密。
将报告发送至 root@h2.nexus
请向我们发送清晰的描述和概念验证。我们会审核每一份报告,尽快回复,并奖励有效且在范围内的发现。
请附上复现步骤、影响,以及任何辅助的截图或日志。