Bug Bounty 賞金獵人計畫

讓我們一起，讓科技更安全！
在 Oen 應援科技，我們相信科技應該服務人群、安全可依賴。為了保障使用者的隱私與交易安全，我們誠摯邀請全球資安社群與我們並肩合作，發現並修補潛在風險，讓產品變得更好、更安全。
你發現的每一個漏洞，都是讓我們變強的契機。

為什麼要加入？

回報有效漏洞即有機會獲得獎勵金
你的研究成果可能影響數萬使用者的資訊安全
我們重視每一位回報者，並願意公開致謝（若您同意）
成為幫助 Oen 應援科技建立亞洲頂尖安全文化的推手

如何參與？

只要你是善意的資安研究者、開發者或工程師，都歡迎參與。請閱讀並遵守我們的 Responsible Disclosure Policy 並依照下列方式回報漏洞：

漏洞回報：
表單連結或直接來信至info@oen.tw

回報內容：

問題描述與重現步驟（包含 URL、畫面截圖、PoC 等）
影響範圍（用戶資料、資金流、服務中斷等）
測試環境與設備資訊（作業系統、瀏覽器、App 版本）

我們關注的漏洞類型

權限繞過、帳號冒用、認證機制缺陷
資料外洩、敏感資訊未妥善保護
API 安全錯誤（如 IDOR、未授權存取）
交易流程中的邏輯錯誤
Web/App 漏洞（XSS、CSRF、SQLi 等）
金流、收款相關流程安全設計問題

漏洞範圍建議

本政策涵蓋但不限於以下產品與服務：

Oen Web 前台 & Dashboard
oen.tw 官網
API Gateway（僅限已授權測試）
行動支付功能（建議使用測試商戶進行）

若您不確定是否在範圍內，請先聯繫我們詢問。

獎勵標準參考（依 CVSS 評分）

我們會依據漏洞的嚴重性、報告品質與重現難易度綜合評估並給予獎勵。
附帶 PoC、重現影片或建議解法將有加分。

嚴重程度	CVSS Range	獎金範圍（新台幣）
Critical	9.0–10.0	$30,000–$100,000
High	7.0–8.9	$10,000–$30,000
Medium	4.0–6.9	$3,000–$10,000
Low	0.1–3.9	$500–$3,000

我們不接受以下類型報告

DoS / DDoS 類測試
社交工程 / 釣魚測試
測試他人帳號 / 存取第三方系統
無實質安全影響的介面錯誤或建議
掃描器產生的未經驗證報告

回報流程與處理時程

提交報告
我們於 5 個工作天內初步回覆
若確認為有效漏洞，將開始修補流程並回報進度
漏洞修補後，即進行獎金評估與發放
同意公開者可列入 Oen 應援科技榮譽榜！

致謝與公開表揚

我們每半年會在官網公布 Top Contributors 榮譽榜，向為 Oen Tech 資安努力的你致敬！（可匿名）
我們也歡迎在你的履歷、部落格、社群中提及參與此計畫。

應援科技負責任揭露政策

應援科技（Oen Tech）致力於打造安全、可靠的產品與服務。我們深知資訊安全是持續合作與透明溝通的成果。因此，我們誠摯邀請資安社群協助我們發現並改進潛在的安全問題。

為鼓勵善意的研究與揭露行為，並確保雙方權益，我們建立以下的負責任揭露政策：

不對善意研究者採取法律行動，前提是您遵守本政策範圍與原則。
以透明與尊重的態度回應您的報告。
合理範圍內提供獎勵，依據漏洞嚴重性與報告品質發放。
在修補完成後，歡迎公開您的研究，我們也將樂於給予公開致謝。

我們鼓勵「良性測試」，但請勿：

進行DDoS 攻擊、垃圾訊息、大量請求導致服務癱瘓
使用社交工程、釣魚手法、內部人員攻擊
存取、修改、下載或刪除任何非屬於您本人的個人資料或資金
測試任何非明確公開的環境（如 staging、開發中網站）
公開揭露漏洞，除非經過我們明確回覆與同意

一起讓科技更有力量

Oen 應援科技是一家立足台灣的金融科技公司，我們的產品「應碰收」正在改變數萬店家的收款方式。我們知道，信任建立在安全之上。

我們視每一位資安研究者為合作夥伴。您的每一份發現，都是幫助我們打造更安全金融環境的重要貢獻。誠摯感謝您的支持與信任並選擇與我們同行。

若您對此計畫有任何疑問，歡迎聯繫我們：info@oen.tw

最後修改日期：2025 年 07 月 16 日