漏洞披露政策 — ScamLens

适用范围

本政策适用于针对以下资产开展的安全研究：

• *.scamlens.org
• ScamLens Chrome 扩展（Chrome Web Store ID：OrangeDuck）
• ScamLens 公开 API（api.scamlens.org）

第三方服务（Stripe、Google Auth、Cloudflare、Brevo、Resend）不在适用范围内 —— 请直接向相应厂商报告。

安全港条款

对于符合以下条件的研究者，我们不会采取法律行动：

• 出于善意行事并遵守本政策
• 不访问、不修改、不外泄超出证明漏洞所必需的数据
• 不中断服务或损害用户体验
• 及时报告并在修复完成前保持保密

不在适用范围内

• 针对生产环境的拒绝服务 / 压力测试
• 针对员工或用户的社会工程
• 物理攻击
• 未确认影响的自动化扫描器报告
• 在无敏感状态页面上的 Self-XSS 和点击劫持
• 静态资源上缺失的最佳实践响应头（已内部跟踪）

如何报告

请发送邮件至 [email protected]，包含：

1. 标题和受影响的资产
2. 复现步骤（清晰、最小化）
3. 影响分析（攻击者可达成什么）
4. 建议修复方案（可选）

我们将在 48 小时内确认收到。修复目标：严重 7 天，高危 14 天，中危 30 天，低危尽力而为。

致谢

经核实的报告将在 安全致谢 页面以您偏好的名称署名（或应要求匿名）。