如何获得更多漏洞赏金提交和更高严重性的发现?
我们重视您的隐私。我们使用cookies来增强您的浏览体验、提供个性化广告或内容以及分析流量。点击“接受所有”,即表示您同意我们使用cookies。
自定义 拒绝所有 接受所有
自定义同意偏好
我们使用cookies来帮助您高效导航并执行某些功能。您将在以下每个同意类别下找到所有cookies的详细信息。
被分类为“必要”的cookies会存储在您的浏览器中,因为它们对于启用网站的基本功能至关重要。……显示更多
有关Google第三方cookies如何操作和处理您的数据的更多信息,请参阅:Google隐私政策
必要 始终激活 必要cookies是启用本网站基本功能所必需的,例如提供安全登录或调整您的同意偏好。这些cookies不存储任何个人身份信息。
| Cookie | 持续时间 | 描述 |
|---|---|---|
__Host-Intigriti.Antiforgery |
session | 反CSRF令牌或防伪令牌是一种安全措施,用于防止Web应用程序中的CSRF攻击。它通过在每个请求中包含一个唯一令牌来工作,服务器验证该令牌以确保请求合法。这有助于防止未经授权的操作,确保请求源自同一站点和用户会话。 |
_GRECAPTCHA |
6个月 | Google Recaptcha服务设置此cookie以识别机器人,保护网站免受恶意垃圾邮件攻击。 |
rc::a |
永不过期 | 此cookie由Google recaptcha服务设置,用于识别机器人以保护网站免受恶意垃圾邮件攻击。 |
rc::f |
永不过期 | 此cookie由Google recaptcha服务设置,用于识别机器人以保护网站免受恶意垃圾邮件攻击。 |
rc::c |
session | 此cookie由Google recaptcha服务设置,用于识别机器人以保护网站免受恶意垃圾邮件攻击。 |
rc::b |
session | 此cookie由Google recaptcha服务设置,用于识别机器人以保护网站免受恶意垃圾邮件攻击。 |
__Secure-Intigriti.OpenIdConnect.Correlation* |
15分钟 | 促进OpenID Connect登录过程的cookie |
__Host-Intigriti.CsrfToken.* |
session | 反CSRF令牌或防伪令牌是一种安全措施,用于防止Web应用程序中的CSRF攻击。它通过在每个请求中包含一个唯一令牌来工作,服务器验证该令牌以确保请求合法。这有助于防止未经授权的操作,确保请求源自同一站点和用户会话。 |
__Host-Intigriti.External* |
session | 我们使用cookies进行单点登录(SSO)登录,以简化您的登录过程。这些cookies安全地存储身份验证详细信息,让您无需每次重新输入凭据即可无缝访问我们的服务。这通过提供流畅安全的登录过程来增强您的用户体验。 |
__Host-Intigriti.SSO |
session / 1天 | login.intigriti.com的身份验证会话cookie在您登录时在设备上存储唯一标识符。它在您浏览网站时保持登录状态,确保安全无缝的浏览体验。该cookie不存储个人信息。如果勾选“记住我”,它在24小时后过期;否则,它是一个会话cookie,在您关闭浏览器时被删除。 |
cookieyes-consent |
1年 | CookieYes设置此cookie以记住用户的同意偏好,以便在后续访问本网站时尊重他们的偏好。它不收集或存储任何关于网站访问者的个人信息。 |
__Secure-Intigriti.Correlation* |
15分钟 | 促进OpenID Connect单点登录过程(外部IdP)的cookie。 |
__Secure-Intigriti.OpenIdConnect.Nonce* |
15分钟 | 促进OpenID Connect登录过程的cookie。此特定cookie防止重放攻击(一种常见的安全漏洞)。 |
__Secure-Intigriti.Nonce* |
15分钟 | 促进OpenID Connect单点登录过程(外部IdP)的cookie。此特定cookie防止重放攻击(一种常见的安全漏洞)。 |
__Host-Intigriti.2FA |
session | 促进2FA登录过程的cookie。仅在用户启用双因素认证时在登录期间使用。 |
__Host-Intigriti.2FA.RememberMe |
14天 | 此cookie简化双因素认证(2FA)登录过程。仅在用户启用2FA时使用。在登录期间,此cookie确保在当前浏览器会话中不会再次提示用户提供第二个认证因素。 |
__Host-Intigriti.TempData |
session | 用于一次性消息(如验证错误)。当数据被读取时也会被删除。 |
__Host-Intigriti.JiraCloudNonce |
session | 促进intigriti和Jira Cloud实例之间OpenID Connect登录过程的cookie。仅在设置与Jira Cloud的新连接时使用。 |
__Host-Intigriti.ExternalIntegrations |
session | 促进intigriti和第三方集成(例如Slack工作区)之间OpenID Connect登录过程的cookie。 |
__Host-Intigriti.Web.* |
session | app.intigriti.com的身份验证会话cookie在您登录时在设备上存储唯一标识符。它在您浏览网站时保持登录状态,确保安全无缝的浏览体验。该cookie不存储个人信息。 |
__Host-Intigriti.HideTwoFactorNudge |
30天 | 我们使用cookie允许用户将双因素认证(2FA)设置推迟最多30天。此cookie存储一个加密令牌,跟踪延期请求并在此期间防止重复提示设置2FA。30天期限到期后,您将需要完成2FA设置过程。该cookie仅包含管理延期期间所需的信息,并在30天后自动删除。它不用于跟踪或任何其他目的。 |
JSESSIONID |
session | New Relic使用此cookie存储会话标识符,以便New Relic可以监控应用程序的会话计数。 |
_vwo* |
1年 | Visual Website Optimizer设置此cookie以计算网站上的唯一流量。 |
keep_alive |
session | keep_alive cookie用于在网站上保持用户会话活跃,防止在非活动期间自动注销。 |
localization |
1年 | 本地化cookie存储用户对语言和区域的偏好,以提供个性化的浏览体验。 |
cart_currency |
14天 | Shopify设置此cookie以记住用户的原籍国并填充正确的交易货币。 |
_tracking_consent |
1年 | 如果商家在访问者所在区域设置了隐私规则,Shopify设置此cookie以存储用户的偏好。 |
功能 功能cookie帮助执行某些功能,如在社交媒体平台上分享网站内容、收集反馈和其他第三方功能。
| Cookie | 持续时间 | 描述 |
|---|---|---|
lidc |
1天 | LinkedIn设置lidc cookie以促进数据中心选择。 |
li_gc |
6个月 | LinkedIn设置此cookie用于存储访问者关于将cookies用于非必要目的的同意。 |
yt-remote-device-id |
永不过期 | YouTube设置此cookie以使用嵌入式YouTube视频存储用户的视频偏好。 |
ytidb::LAST_RESULT_ENTRY_KEY |
永不过期 | cookie ytidb::LAST_RESULT_ENTRY_KEY由YouTube使用,存储用户点击的最后一个搜索结果条目。此信息用于通过在未来提供更相关的搜索结果来改善用户体验。 |
yt-remote-connected-devices |
永不过期 | YouTube设置此cookie以使用嵌入式YouTube视频存储用户的视频偏好。 |
yt-remote-session-app |
session | yt-remote-session-app cookie由YouTube使用,存储用户偏好和嵌入式YouTube视频播放器界面信息。 |
yt-remote-cast-installed |
session | yt-remote-cast-installed cookie用于使用嵌入式YouTube视频存储用户的视频播放器偏好。 |
yt-remote-session-name |
session | yt-remote-session-name cookie由YouTube使用,存储嵌入式YouTube视频的用户视频播放器偏好。 |
yt-remote-cast-available |
session | yt-remote-cast-available cookie用于存储用户关于其YouTube视频播放器是否可用的偏好。 |
yt-remote-fast-check-period |
session | yt-remote-fast-check-period cookie由YouTube使用,存储嵌入式YouTube视频的用户视频播放器偏好。 |
lang |
session | LinkedIn设置此cookie以记住用户的语言设置。 |
hideCompleteProfileMessage |
30天 | 此cookie存储用户在关闭“完善您的个人资料”消息框后的偏好。它确保消息在后续访问中不再出现,改善用户体验。 |
hideAiSuggestionsReminder |
30天 | 此cookie存储用户关闭关于其资产的AI建议技能提醒的选择。它防止再次显示提醒,提供更清晰和更个性化的用户体验。 |
分析 分析性cookie用于了解访问者如何与网站互动。这些cookie帮助提供诸如访问者数量、跳出率、流量来源等指标的信息。
| Cookie | 持续时间 | 描述 |
|---|---|---|
__cf_bm |
1小时 | 此cookie由Cloudflare设置,用于支持Cloudflare机器人管理。 |
__hssrc |
session | 每当Hubspot更改会话cookie时设置此cookie。设置为1的__hssrc cookie表示用户已重新启动浏览器,如果cookie不存在,则假定为新会话。 |
__hssc |
1小时 | HubSpot设置此cookie以跟踪会话并确定HubSpot是否应增加__hstc cookie中的会话编号和时间戳。 |
_gcl_au |
3个月 | Google Tag Manager设置cookie以实验使用其服务的网站广告效率。 |
__hstc |
6个月 | Hubspot设置此主cookie用于跟踪访问者。它包含域、初始时间戳(首次访问)、最后时间戳(最后访问)、当前时间戳(本次访问)和会话编号(为每个后续会话递增)。 |
hubspotutk |
6个月 | HubSpot设置此cookie以跟踪网站访问者。此cookie在表单提交时传递给HubSpot,并在重复数据删除联系人时使用。 |
ph_phc_* |
1年 | PostHog是一个开源分析工具,帮助我们了解用户在我们网站上的互动。它跟踪用户行为、记录会话并分析用户路径。此数据帮助我们改进服务和用户体验。 |
utm_source |
1个月 | 此cookie用于记录访问者最初来自哪里。此信息由网站运营商用于了解其营销效率。 |
_pk_id.* |
1年1个月 | Matamo设置此cookie以存储唯一用户ID。 |
_pk_ses.* |
1小时 | Matomo设置此cookie以存储唯一会话ID,用于收集用户如何使用网站的信息。 |
性能 性能cookie用于理解和分析网站的关键性能指标,这有助于为访问者提供更好的用户体验。
| Cookie | 持续时间 | 描述 |
|---|---|---|
_uetsid |
1天 | Bing Ads设置此cookie以与先前访问过网站的用户互动。 |
_uetvid |
1年24天 | Bing Ads设置此cookie以与先前访问过网站的用户互动。 |
广告 广告cookie用于根据您先前访问的页面为访问者提供定制广告,并分析广告活动的有效性。
| Cookie | 持续时间 | 描述 |
|---|---|---|
bcookie |
1年 | LinkedIn从LinkedIn分享按钮和广告标签设置此cookie以识别浏览器ID。 |
bscookie |
1年 | LinkedIn设置此cookie以存储在网站上执行的操作。 |
MUID |
1年24天 | Bing设置此cookie以识别访问Microsoft站点的唯一Web浏览器。此cookie用于广告、站点分析和其他操作。 |
YSC |
session | Youtube设置此cookie以跟踪YouTube页面上嵌入式视频的观看次数。 |
VISITOR_INFO1_LIVE |
6个月 | YouTube设置此cookie以测量带宽,确定用户是获得新的还是旧的播放器界面。 |
VISITOR_PRIVACY_METADATA |
6个月 | YouTube设置此cookie以存储用户当前域的cookie同意状态。 |
test_cookie |
15分钟 | doubleclick.net设置此cookie以确定用户的浏览器是否支持cookies。 |
IDE |
1年24天 | Google DoubleClick IDE cookies存储有关用户如何使用网站的信息,以根据用户配置文件向他们展示相关广告。 |
sa-user-id |
1年 | StackAdapt设置此cookie作为第三方广告cookie,记录有关用户网站活动的信息,例如访问的页面和查看的位置,使我们能够向用户提供基于兴趣的内容和个性化广告在外部网站上。 |
sa-user-id-v2 |
1年 | StackAdapt设置此cookie作为第三方广告cookie,记录有关用户网站活动的信息,例如访问的页面和查看的位置,使我们能够向用户提供基于兴趣的内容和个性化广告在外部网站上。 |
utm_medium |
1个月 | 此cookie用于记录访问者最初来自哪里。此信息由网站运营商用于了解其营销效率。 |
未分类 其他未分类的cookies是那些正在分析且尚未分类到类别中的cookies。
(此处省略部分未分类cookies的详细列表以保持简洁)
拒绝所有 保存我的偏好 接受所有
powered by
不确定应为报告的漏洞奖励多少?我们分析了跨行业的640多个漏洞赏金计划,以帮助您做出明智决策。
公平奖励您的研究人员 – 立即尝试我们的漏洞赏金计算器!
博客 | 商业洞察
如何获得更多漏洞赏金提交和更高严重性的发现?
作者:Eleanor Barlow
2025年9月22日
目录
要提高提交的数量和质量,请关注这个四部分策略。
- 添加上下文和业务逻辑
- 优先处理有影响力的资产并澄清赏金结构
- 运行推广活动并激励研究人员
- 转向公开计划
增强您的漏洞赏金之旅的后续步骤
您提问,我们回答。
在Intigriti,我们一直密切关注那些已经实施漏洞赏金计划的人最常提出的问题。这就是为什么我们推出这个博客系列,致力于回答最常被问到的问题,深入探讨热门话题,并分享实用且专家支持的策略,以帮助您最大化漏洞赏金的成功。
到目前为止,本系列我们已经回答了:
- 如何吸引安全研究人员测试我的漏洞赏金计划?
- 我应如何在漏洞赏金计划中范围界定第三方资产?
- 公开漏洞赏金计划后可以预期什么模式?
今天,我们讨论问题“如何获得更多提交,特别是关于更高严重性的发现?”
要提高提交的数量和质量,请关注这个四部分策略。
1. 添加上下文和业务逻辑
当研究人员了解您的资产在真实业务场景中如何使用时,他们更有可能突出高严重性发现。尽可能提供关于系统在您公司中如何使用的信息,以提供资产复杂性的清晰概念。
“资产复杂性指的是资产的安全性或复杂程度[…]有些资产难以黑客攻击,需要吸引人的赏金和结构良好的计划来保持熟练研究人员的参与。” – 安全成熟度、复杂性和漏洞赏金计划有效性
通过提供用户流和描述业务逻辑等元素,您为研究人员提供了如何最好地处理资产的知识,并增强了他们深入挖掘并从一开始就突出高严重性错误或缺陷的能力。
底线是清晰和可访问的计划是必不可少的。Intigriti审查每个计划,包括启动前和启动后,以获取团队和黑客社区的专家意见。
2. 优先处理有影响力的资产并澄清赏金结构
这可能看起来简单,但请确保您最关键的系统,以及生产环境和业务关键应用程序,都在范围内。研究人员分析范围内的资产,因此请确保包含这些元素以推动高严重性发现。
通过为您的皇冠珠宝分配更高层级的赏金,您表明它们的重要性并吸引研究人员的注意。
“赏金层级让您战略性地分配奖励,优先处理关键资产,同时在您的计划中保持广泛覆盖。” – 赏金层级
确保您的奖励反映严重性和影响,特别是对于关键问题。如果您将范围项分配给特定层级,那么更容易用更高层级优先处理关键资产,通常提供更大的奖励。
这种透明度帮助研究人员了解他们可以赚取什么,并鼓励他们关注高影响力目标。
3. 运行推广活动并激励研究人员
通过提供限时奖金创造紧迫感和兴奋感。
例如,您可以为启动周内的第一个有效关键提交提供奖金。通过为关键和时间敏感的发现提供奖金或提升层级,您为更深入和更快的研究创造了有吸引力的激励。
“赏金层级让您战略性地分配奖励,优先处理关键资产,同时在您的计划中保持广泛覆盖。” – 赏金层级
提供独家礼品是另一种用于引导焦点到您想要测试的区域的方法,例如新发布的功能。
4. 转向公开计划
通过将您的计划转向公开来增加您的可见性。私人计划限制曝光和潜在价值,并且可能使营销和销售更难引用和庆祝成功计划。
增强您的漏洞赏金之旅的后续步骤
有关本文中任何要点的更多信息,请立即联系团队。
并密切关注我们的下一篇博客,在那里我们将剖析向我们团队提出的另一个热门问题!
对特定主题感兴趣?通过发送电子邮件至pr@intigriti.com将您想得到答案的问题发送给我们。
作者
Eleanor Barlow
高级网络安全技术作家
上一篇:我应如何在漏洞赏金计划中范围界定第三方资产?
下一篇:如何吸引安全研究人员测试我的漏洞赏金计划?
您可能还喜欢:
- 我应如何在漏洞赏金计划中范围界定第三方资产?(2025年9月10日)
- 如何吸引安全研究人员测试我的漏洞赏金计划?(2025年9月3日)
- 公开漏洞赏金计划后可以预期什么模式?(2025年8月27日)