最近发现一个银行的简单安全性问题 想要回报时发现找不到地方联络管道 这时候才认真觉得银行不愧是传统产业... 这样就算是路人找到漏洞 也不知道要怎样回报 (赚取奖金) ## Submit Report 依照我之前的过往经验 如果发现某公司的资讯安全漏洞会先： - 找官网上的联络方式、看有没有问题回报的方式 - 透过关键字搜寻 xxx security vulnerabilities submit、就可以找到 像是 Facebook[0] 或 Intel[1] - 透过 HackerOne 或 Bugcrowd 看公司是否有在上面注册 ## 台湾公司 整理一下台湾市值 50 大[2]公司中前十大的联络方式： | 公司名称 | 联络方式 (官网) | 关键字 | 回报平台 | | ----------- | --------------- | -------------- | -------------- | | 2330 台积电 | 联络我们[3] | N/A | HackerOne[15] | | 2317 鸿海 | 联络我们[4] | N/A | N/A | | 2454 中华电 | 意见信箱[5] | ZeroDay[12] | N/A | | 6505 台塑化 | 联络我们[6] | ZeroDay[13] | N/A | | 2308 台达电 | 联络我们[7] | 正式管道[14] | N/A | | 2881 富邦金 | 联络我们[8] | N/A | N/A | | 2882 国泰金 | 联络我们[9] | N/A | N/A | | 1303 南亚 | 联络我们[10] | N/A | N/A | | 2303 联电 | 联络我们[11] | N/A | N/A | 很不意外的、上面公司从官网都找不到合适的联络方式 尤其是富邦金控还需要填入身分证字号才能回报问题、感觉上在回报问题上有更高的门槛。 比较有趣的事情 台达电的漏洞回报似乎只有提供英文版本，使用中文基本找不到对应的资料。 [0]: https://www.facebook.com/security/advisories/Vulnerability-Disclosure-Policy [1]: https://www.intel.com/content/www/us/en/security/security-practices/vulnerability-management/reporting-vulnerability.html [2]: https://www.taifex.com.tw/cht/9/futuresQADetail [3]: https://www.tsmc.com/chinese/contact-us [4]: https://www.foxconn.com/zh-tw/contact [5]: https://www.cht.com.tw/zh-tw/home/cht/service/emailus [6]: https://www.fpcc.com.tw/tw/contact [7]: https://www.deltaww.com/zh-TW/customerService [8]: https://www.fubon.com/member/quest/quest.jsp?buCate=T [9]: https://www.cathayholdings.com/holdings/contact_us [10]: https://www.npc.com.tw/j2npc/zhtw/service/Cc1v01.do [11]: https://www.umc.com/zh-TW/Html/general_inquiries [12]: https://zeroday.hitcon.org/vulnerability/ZD-2021-00534 [13]: https://zeroday.hitcon.org/vulnerability/ZD-2022-00529 [14]: https://www.deltaww.com/en-US/customerService_CyberSecurity [15]: https://hackerone.com/tsmc?type=team --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 111.242.215.50 (台湾) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/NetSecurity/M.1683949731.A.D47.html