漏洞揭露計劃

資格要求

為確保提交內容和支付里數的公正性和相關性,研究人員和漏洞必須符合聯合航空揭露計劃條款,包括但不限於以下要求:

  • 所有漏洞都必須是新發現的漏洞。獎勵里數將僅給予首位提交特定漏洞的研究人員。
  • 該名研究人員必須為前程萬里飛行計劃 (MileagePlus®) 會員,信譽良好且必須年滿 18 歲。若尚未成為會員,請即申請加入前程萬里飛行計劃 (MileagePlus)
  • 研究人員的居住地不得在美國目前的制裁名單所列之國家或地區
  • 提交漏洞報告的研究人員不得為聯合航空、任何星空聯盟 (Star Alliance™) 成員航空公司或任何其他合作夥伴航空公司、聯合航空承包商的在職或離職員工,或者為聯合航空或任何合作夥伴航空公司員工之家屬。
  • 提交漏洞的研究人員不得為該漏洞碼的作者或曾與該漏洞碼有任何關連性。

目標資訊

聯合航空會不時判定構成合資格漏洞的原因。以下是所有目標的摘要,聯合航空將針對這些目標審查漏洞提交情況:

  • 聯合航空商用網站 (united.com)
  • 聯合航空 iOS 和 Android 應用程式
  • 聯合航空 MileagePlus X iOS 和 Android 應用程式

您可以在下方找到漏洞揭露計劃適用範圍和適用範圍外的目標。

適用範圍

  • *.united.com - 網站測試
  • 適用 iOS 的聯合航空行動應用程式 - 行動測試
  • 適用 Android 的聯合航空行動應用程式 - 行動測試
  • 適用 iOS 的 MileagePlus X 應用程式 - 行動測試
  • 適用 Android 的 MileagePlus X 應用程式 - 行動測試

適用範圍外

聯合航空使用許多的多個第三方網站/服務,這些皆不在此計劃的範圍內。此外,範圍清單可能隨時會更改。以下目標被視為適用範圍外:

  • 機上無線網絡 (Wi-Fi)、娛樂系統或航空電子設備
  • 公司電子郵件
  • 第三方應用程式/服務
  • 非生產環境
  • hotels.united.com
  • vacations.united.com
  • united.jobs
  • newsroom.united.com
  • ir.united.com
  • hub.united.com
  • jobs.united.com
  • opinions.united.com
  • globallinks.united.com
  • dutyfree.united.com
  • bigmetalbird.united.com
  • globalservices.united.com
  • uatp.united.com
  • thanksamillion.united.com
  • unitedmileageplus.com
  • secure.unitedmileageplus.com
  • newspaper-miles.com
  • *.ual.com
  • *.mileageplus.com
  • cruises.united.com
  • ualmiles.com
  • unitedshop.summitmg.com
  • united-veterans.jobs
  • clubconferencerooms.united.com/unit
  • theexplorercard.com
  • mpclubcard.com
  • myexplorercard.com
  • unitedexplorecard.com
  • unitedexplorer.com
  • unitedexplorercard.com
  • mileageplusawards.com
  • mpdining.rewardsnetwork.com
  • m.mpdining.rewardsnetwork.com
  • news.united.com/responsys
  • survey.continental.com/vovici.net
  • booking.unitedcargo.com
  • chargerback.com

參與規則

  • 提供發現漏洞的詳細資訊,包括使用提交表格重現和驗證漏洞所需的資訊。
  • 所有漏洞都必須構成安全威脅,才有資格獲得獎勵。聯合航空對於決定問題的嚴重性負有最終責任。
  • 無論何時,您所發現的漏洞或潛在漏洞皆不得對外或向第三方公開披露,否則,獲得里數的資格將會被取消。
  • 切勿試圖進行後滲透攻擊,包括修改或破壞資料,以及中斷或降低聯合航空服務等級;
  • 切勿試圖對非您自身的聯合航空帳戶實施暴力破解攻擊、拒絕服務攻擊、損害或測試;
  • 切勿試圖對客機或客機系統(如機上娛樂或機上無線網絡 (Wi-Fi))進行任何測試;
  • 切勿試圖針對聯合航空員工或使用方法的客戶進行攻擊,包括社交工程攻擊、網絡釣魚攻擊或人身攻擊;
  • 切勿對聯合航空機場設施進行有形攻擊。
  • 切勿使用自動掃描器/工具。

符合提交資格的漏洞:

  • 遠端程式碼執行
  • SQL 隱碼攻擊
  • XXE
  • XSS
  • 伺服器端偽造要求
  • 目錄周遊 - 本機檔案納入
  • 驗證/授權被略過(無效的存取管控)
  • 特權提升
  • 不安全的直接物件參考
  • 配置錯誤
  • 網站快取詐欺
  • 跨原始來源資源共用 (CORS) 配置錯誤
  • CRLF 插入
  • 跨網站偽造要求
  • 開啟重新導向
  • 資訊揭露
  • 請求夾帶攻擊技術
  • 混合內容

不符合提交資格的漏洞:

  • 安全性最佳做法,即安全性標頭等
  • 社交工程、網絡釣魚
  • 人身攻擊
  • 遺失 Cookie 標幟
  • 影響最小的 CSRF,即登入 CSRF、登出 CSRF 等
  • 內容遭惡意竄改
  • 堆疊追蹤、路徑公開、目錄清單
  • SSL/TLS 最佳做法
  • 橫幅擷取
  • CSV 插入
  • 反映型檔案下載
  • 關於過時瀏覽器的報告
  • DOS/DDOS
  • 未造成明顯影響的主標頭插入
  • 掃描器輸出
  • 第三方產品上的漏洞
  • 使用者列舉
  • 密碼複雜度
  • HTTP 追蹤方法
  • DMARC
  • 點擊劫持 (Clickjacking)
  • SPF 記錄
  • 不足以因應自動化攻擊
  • 限速攻擊
  • 本身的跨網站指令碼 (XSS)

提交

請確認您了解並接受政策和條款及細則,並使用此處提供的提交表格向聯合航空漏洞揭露計劃提交報告。