資訊資產盤點

 https://forms.gle/KP7VuzdRgFyT3kqX9

https://docs.google.com/spreadsheets/d/1JrCSUoK8DFm4SloUYkofqvYNdy3ArDy7gQ376vT-6HQ/edit?usp=sharing

博客來下五折了

 https://www.books.com.tw/products/0010980479

水呀 請你到非洲

 有本書─「雨呀！請你到非洲」，現在真有組織想讓非洲有活水：舊鞋救命組織

多年來深耕東非偏鄉，舊鞋救命看見當地居民如何為了取水而耗盡心力，辛苦取得的水源還是與牲畜共用，佈滿細菌和寄生蟲的骯髒水質。

根據聯合國統計，每年有超過 297,000 名 5 歲以下的孩童因為飲用不乾淨的水而死於腹瀉等疾病 (WHO 2019)。 為解決非洲乾淨水資源不足的問題，從2016 年起舊鞋救命成立「活水計畫」，至今已開鑿逾 40 口水井，為偏鄉村落超過 6 萬人帶來乾淨水源。

在建造水井前，會跟隨村落的牧師及意見領袖進行田野調查，實地了解當地狀況。接著由地質學家和水井挖鑿公司合作以進行水源探勘、地質調查和水井挖鑿。建設完成後，還須經過水質檢驗、保證水源潔淨，才開放給當地聚落使用。

落成的水井會交由當地社區管理維護，使居民們在用水過程中也負起維護責任；意識到這口水井是「屬於村莊社群的」，而不是「慈善機構要負責的」，如此才能永續經營。

https://www.step30.org/civicrm/contribute/transact?reset=1&id=4

新心公益─第二講（亞洲女孩獎．勵馨基金會）

 

MP32315《26大企業紅藍隊攻防演練：從企業永續報告書精進資安網路攻防框架》各章Q&A參考答案─第二章

 

Question1：在RAAS勒索軟體即服務的產業分工下，華碩有資安主管聯盟的消息分享機制，如果您是華碩的資安人員，該如何應用這個機制，以共享資源的方式，降低單一公司對資安武裝所需的投資金額並及時得知攻擊資訊。

在RAAS（Ransomware-as-a-Service，勒索軟體即服務）產業的分工下，攻擊者的技術和策略變得更為成熟和組織化，企業面臨的資安威脅也日益嚴峻。如果您是華碩的資安人員，應用資安主管聯盟的消息分享機制來降低成本並及時得知攻擊資訊，可以採取以下幾個策略：

1. 分享威脅情報：透過資安主管聯盟與其他公司分享最新的威脅情報，例如最新的攻擊模式、攻擊工具及常見的攻擊向量。這樣可以使各公司即時了解最新的威脅動態並提早防範，而不需要獨自進行昂貴的情報搜集。

2. 共享資安工具與資源：透過聯盟內部協作，共享防禦工具、威脅檢測技術和資安人員的專業知識。例如，可以共同購買威脅情報訂閱服務、協作開發自訂的防禦策略，或共享資安防護技術的使用經驗，從而減少單一公司在資安工具和技術上的投資。

3. 即時事件通報機制：聯盟內部可以建立一個快速的事件通報機制，當有成員公司遭受攻擊時，其他成員可以即時收到警示，從而加強防範。這種快速反應機制可以幫助企業在攻擊發生後快速調整防禦措施，減少潛在的損害。

4. 合作進行應急演練：聯盟可以組織跨公司合作的應急演練，模擬各類資安事件（如RAAS攻擊、DDoS攻擊等）的發生，並測試聯盟成員的反應能力與應急預案。這種合作演練不僅可以提升整個聯盟的防禦能力，還能讓成員企業學習彼此的應對策略。

5. 推動資安教育與訓練：聯盟成員可以共享資安培訓資源，針對勒索軟體和其他威脅進行定期的資安教育與訓練，並共同組織資安講座、工作坊，讓所有成員都能更有效地應對最新的威脅。

透過資安主管聯盟的共享機制，華碩可以減少資安投資成本，提升整體資安防護能力，並及時獲取重要的攻擊信息，從而更有效地保護公司免受RAAS等威脅的影響。

Quesion2：華碩路由器等硬體產品可能面臨修補頻率低、缺乏安全軟體、防禦者的可見性有限的問題，您覺得應如何改善?

華碩的路由器等硬體產品若面臨修補頻率低、缺乏安全軟體、防禦者可見性有限等問題，可以通過以下幾個措施來改善這些資安弱點：

1. 提高補丁管理與自動更新機制

自動更新功能：實現固件與安全補丁的自動更新，讓用戶無需手動下載和安裝，從而提升補丁的及時性。華碩可以設計一個強化的自動化更新機制，定期釋出並推送最新的安全更新，減少潛在漏洞的暴露時間。

增強補丁通知機制：即使部分用戶選擇手動更新，也應該提供更清晰的補丁通知機制，定期提醒用戶更新固件和安全補丁，並解釋更新的必要性。

2. 強化內建安全功能

內建安全軟體與防護機制：華碩可以在路由器中內建更多的安全軟體，例如防火牆、入侵檢測系統（IDS）和入侵防禦系統（IPS），提升設備的主動防禦能力。這些功能應該盡可能預設開啟，並且對於普通用戶保持簡單易用。

主動威脅檢測與防護：可以結合人工智能或行為分析技術，對網路活動進行實時監控與分析，檢測並阻擋異常行為或潛在的攻擊行動。

3. 提高防禦者的可見性

用戶友好的安全儀表板：為路由器用戶提供可視化的安全儀表板，顯示網路安全狀況，包括已連接設備、潛在威脅、更新狀況等。這不僅讓用戶可以更直觀地了解設備的安全狀況，還能及時作出調整。

安全報告和通知系統：路由器應提供定期的安全報告功能，讓用戶了解網路中的可疑活動、受攻擊情況以及防護狀況。此外，可以實現異常行為即時通知，讓用戶能夠快速做出應對。

4. 增加第三方安全審計與驗證

與第三方安全公司合作：定期邀請獨立的第三方安全公司進行產品安全審計與滲透測試，確保設備符合最新的安全標準並及時修補漏洞。這不僅提高了產品的安全性，也能增強消費者對產品的信心。

取得安全認證：為產品取得國際通用的安全認證，如ISO/IEC 27001或Common Criteria，展示華碩對產品安全性的承諾。

5. 提升開發與支援的協作機制

開放式漏洞回報計劃：設置漏洞獎勵計劃（Bug Bounty），鼓勵外部安全研究人員提交發現的漏洞並給予獎勵，促進漏洞的及時修補。

增強開發人員的安全意識：在產品開發階段強化安全開發生命週期（Secure Development Lifecycle，SDL），將安全性作為產品設計的核心，確保硬體和軟體在設計和開發階段就考慮到安全風險。

6. 加強用戶教育

用戶教育計劃：針對消費者推出更多的安全教育和指導，例如如何正確設置路由器、如何防範潛在的網路威脅，以及如何定期更新設備。這樣可以增強消費者的安全意識，從而更好地保護其網路環境。

透過這些措施，華碩可以提升硬體產品的安全性，縮短漏洞修補時間，並增強用戶的可見性與防禦能力，使得路由器等產品在面對資安威脅時具備更好的防護效能。

新心資安講座2024─第十四講（聯發科延伸思考）

 

MP32315《26大企業紅藍隊攻防演練：從企業永續報告書精進資安網路攻防框架》各章Q&A參考答案─第一章

CH1：2022年版聯發科永續報告書

Question1：大部分企業保存機密的方法有二，一個是申請專利，一個是列為營業秘密。請就您的觀點，建議聯發科應該將機密資料多申請專利還是多列為營業機密加以管控。

參考答案：

1. 專利申請：

• 優點：

  • 法律保護強度高：一旦申請成功，專利提供了法定的壟斷權，可以防止他人在專利期內使用、製造或銷售相同的技術。
  • 公開透明：專利申請過程公開，有助於樹立公司的創新形象，並且能吸引投資者。
  • 對抗侵權：專利權可以用來對抗侵權者，並可以在法律上對侵權行為提出索賠。

• 缺點：

  • 公開披露：申請專利時，技術細節必須公開。一旦專利期過後，這些技術將失去保護，並且成為公共財。
  • 成本高：專利申請過程費時費力，並且申請和維護專利都需要一定的費用。
  • 技術生命周期：在一些技術快速發展的領域，專利申請的時間可能過長，當專利獲批時，技術可能已經過時。

2. 營業秘密：

• 優點：

  • 無需公開：營業秘密不需要對外公開，可以永久保密，只要能夠維持其秘密性。
  • 成本相對較低：不需要支付專利申請和維護的費用，僅需投入必要的保密措施和管理。
  • 應對快速變化：對於快速演變的技術，營業秘密可以立即生效，無需等待審批。

• 缺點：

  • 法律保護較弱：營業秘密的保護依賴於公司的保密措施，一旦被洩露，法律追訴可能比較困難。
  • 容易被反向工程：對於容易被反向工程的技術，營業秘密可能不足以保護公司的核心技術。
  • 內部風險：需要嚴格控制內部員工的接觸範圍，防止內部洩密。

建議：

• 混合策略：
  • 核心創新專利化：對於那些具有長期價值並且難以通過反向工程破解的核心技術，建議申請專利，以獲得較強的法律保護。
  • 快速變化的技術與商業秘密：對於那些快速演變的技術或商業策略，可以考慮將其列為營業秘密，以避免因專利公開而失去競爭優勢。
  • 制定保密政策：即使選擇申請專利，聯發科仍應建立嚴格的保密政策，確保在申請專利前和申請過程中的技術細節不被洩露。

這樣的混合策略可以幫助聯發科在保護其創新技術的同時，最大限度地保持競爭力和靈活性。

Question2：如果您是聯發科的資安人員，發現新發布了一個漏洞，但是據新聞報導，修補後災情頻傳，那您要如何處理這個漏洞？

如果我是聯發科的資安人員，發現新發布的漏洞修補後導致災情頻傳，以下是我會採取的處理步驟：

1. 立即調查與評估：

• 評估影響範圍：首先，需要迅速評估漏洞的影響範圍，確定受影響的產品、版本和客戶群體。
• 災情分析：針對報導中的災情，進行具體的問題分析，確認災情是否與漏洞修補直接相關，並評估修補過程中可能產生的連帶問題。

2. 暫停補丁部署：

• 暫停補丁更新：如果確認修補導致災情頻發，應立即暫停該補丁的進一步部署，以防止更多系統受影響。
• 通知相關方：通知內部團隊及受影響的客戶或合作夥伴，說明情況並建議暫停使用或回滾補丁。

3. 問題溯源與修復：

• 回溯分析：召集開發、測試及安全團隊進行回溯分析，深入了解補丁導致問題的原因。這可能涉及到代碼審查、測試環境重建及模擬測試等步驟。
• 開發新的修補方案：根據分析結果，開發新的修補方案，並進行嚴格的測試和驗證，確保不會再引發相同或新的問題。

4. 溝通與協作：

• 與受影響方保持溝通：定期向受影響的客戶和內部利益相關者更新進展，提供臨時解決方案或指導，協助他們度過危機。
• 與媒體和公眾說明：若事件影響廣泛，應通過適當的渠道與媒體和公眾溝通，透明地說明問題並提供解決方案，減少不必要的恐慌。

5. 回顧與改進：

• 事後分析：在問題解決後，進行全面的事後分析，總結經驗教訓，找出流程中的不足之處。
• 強化測試和審查流程：加強未來補丁開發和發布前的測試及審查流程，確保類似問題不再發生。
• 定期安全審計：建立定期的安全審計流程，及早發現潛在問題，並在問題發生前予以修復。

6. 長期策略與防範措施：

• 漏洞管理流程：優化現有的漏洞管理流程，包括漏洞的發現、評估、修補、發布及後續監控，確保每個步驟都能有效執行。
• 多層次的防禦策略：結合不同的防禦層次，減少漏洞影響的風險，如強化防火牆、入侵檢測系統等。

通過這些步驟，我將確保在修復漏洞的同時，最大限度地減少對客戶和公司運營的影響，並建立更加穩健的安全管理機制。

Question3：請您練習查詢CVE資料庫，了解漏洞的描述，並檢視受影響的軟體版本與可能的攻擊路徑。

https://cve.mitre.org/

輸入CVE-2020-11023做為範例



Search Results

There are 3 CVE Records that match your search.

Name Description

CVE-2020-23064 ** REJECT ** DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: CVE-2020-11023. Reason: This candidate is a duplicate of CVE-2020-11023. Notes: All CVE users should reference CVE-2020-11023 instead of this candidate. All references and descriptions in this candidate have been removed to prevent accidental usage.

CVE-2020-11023 In jQuery versions greater than or equal to 1.0.3 and before 3.5.0, passing HTML containing <option> elements from untrusted sources - even after sanitizing it - to one of jQuery's DOM manipulation methods (i.e. .html(), .append(), and others) may execute untrusted code. This problem is patched in jQuery 3.5.0.

CVE-2020-11022 In jQuery versions greater than or equal to 1.2 and before 3.5.0, passing HTML from untrusted sources - even after sanitizing it - to one of jQuery's DOM manipulation methods (i.e. .html(), .append(), and others) may execute untrusted code. This problem is patched in jQuery 3.5.0.

可以看到相關的漏洞都是jQuery未更新至最新版本。

繁體中文的第一本CC書圖示

 

金管會發布「金融業導入零信任架構參考指引」，鼓勵深化資安防護

 

金管會發布「金融業導入零信任架構參考指引」，鼓勵深化資安防護

2024 / 07 / 19 

金管會新聞稿

金管會於 2024 年 7 月 18 日發布「金融業導入零信任架構參考指引」，鼓勵金融業以零信任思維深化資安防護。參考指引建議金融機構採風險導向，擇高風險場域為優先導入零信任架構之標的，例如遠距辦公、雲端存取、重要系統主機及資料庫等。
 
「金融業導入零信任架構參考指引」參考美國CISA零信任成熟度模型，並依據我國金融業屬性及既有資安防護能量進行調適，區分四階段分級指標：

·         第一級為靜態指標，著重在既有資安防護機制之優化及整合，包含雙因子身分鑑別、設備識別、網路區隔與流量加密、應用程式最小授權原則、機敏資料加密及外洩防護等，由關鍵資源存取路徑強化防護縱深。

·         第二級融入動態指標，主要參採零信任「永不信任、持續驗證」概念，將資源存取時的動態屬性（如時間、地點、設備合規狀態等）增納為授權審核條件，可針對異常樣態動態撤銷、限縮存取授權或即時告警。

·         第三級以即時指標為主，建議整合資安監控機制，於安全資訊與事件管理平台(SIEM)收容及整合資源存取相關事件日誌，對入侵指標(IOC)或攻擊行為樣態(如Mitre ATT&CK TTP)等進行即時的偵測、判斷與應處。

·         第四級為最佳化的整合指標，建立可依資安政策快速調適之一致性且自動化之管理機制，確保安全性及合規性。

金管會表示，參考指引屬行政指導，金融機構於導入實務仍得考量既有資訊與資安環境、資安防護水準、資源及人力、業務風險、相關解決方案成熟度等因素調適，或另為適切之規劃。金管會亦將鼓勵金融機構分享實務案例，供金融同業交流研討最佳實務，並透過定期調查各金融機構之導入規劃及進程，適時納入資安規範，提升整體資安防禦水準。

人手一本的資安健診實作課：不是專家也能自己動手做！（Win10 / Win11適用）【暢銷回饋版】

讀者回饋

O小姐：NPASCAN無法在VM上執行，我回應現在已經有Windows Defender了，可以放心使用。並應允未來有書本上的問題，都可以詢問。

人手一本的資安健診實作課：不是專家也能自己動手做！（Win10 / Win11適用）【暢銷回饋版】

初版十刷後，作了一些勘誤，也希望更多的人了解全員資安的概念，資安即國家，希望更多的人能夠對資安有進一步的了解，進而協助資訊、資安人員，成為後盾。

暢銷回饋版2024。6。28上市，歡迎舊雨新知幫推廣，在此謹謝

購買連結：

博碩文化：https://www.drmaster.com.tw/bookinfo.asp?BookID=MP32412

天瓏：https://www.tenlong.com.tw/products/9786263338937?list_name=srh

博客來：https://www.books.com.tw/products/0010992899

（註：香港朋友亦可寄到香港博客來取件）

金石堂：https://www.kingstone.com.tw/basic/2013120707207/?lid=search&actid=WISE&kw=%E4%BA%BA%E6%89%8B%E4%B8%80%E6%9C%AC%E7%9A%84%E8%B3%87%E5%AE%89%E5%81%A5%E8%A8%BA%E5%AF%A6%E4%BD%9C%E8%AA%B2%EF%BC%9A%E4%B8%8D%E6%98%AF%E5%B0%88%E5%AE%B6%E4%B9%9F%E8%83%BD%E8%87%AA%E5%B7%B1%E5%8B%95%E6%89%8B%E5%81%9A%EF%BC%81(Win10%20%EF%BC%8F%20Win11%E9%81%A9%E7%94%A8)

墊腳石：

Momo：https://www.momoshop.com.tw/goods/GoodsDetail.jsp?i_code=12972447&Area=search&oid=1_2&cid=index&kw=%E4%BA%BA%E6%89%8B%E4%B8%80%E6%9C%AC%E7%9A%84%E8%B3%87%E5%AE%89%E5%81%A5%E8%A8%BA%E5%AF%A6%E4%BD%9C%E8%AA%B2%EF%BC%9A%E4%B8%8D%E6%98%AF%E5%B0%88%E5%AE%B6%E4%B9%9F%E8%83%BD%E8%87%AA%E5%B7%B1%E5%8B%95%E6%89%8B%E5%81%9A%EF%BC%81%EF%BC%88Win10%20%2F%20Win11%E9%81%A9%E7%94%A8%EF%BC%89

PCHome：https://24h.pchome.com.tw/books/prod/DJBP45-A900FXX5T

誠品：https://www.eslite.com/product/10012011762682596829005

蝦皮：https://shopee.tw/product/728783014/24932372068/

讀墨：https://readmoo.com/book/210265917000101

香港地攤：

馬來西亞城邦閱讀花園：

https://www.cite.com.my/m/product_info.php?products_id=1279210

馬來西亞有店：https://www.got1shop.com/goods.php?id=3608832

批量查IP

sudo apt-get update

https://www.itdog.cn/batch_ping/

https://web-check.xyz/

https://www.accupass.com/event/2405100517366590224820

http://www.foodtw.org.tw/

https://eapdb.com/ciso/alphv.php

https://cybersecurity-exam.blogspot.com/

https://lihi.cc/Xwqx5

https://www.securevectors.com/wp-content/uploads/2024/01/

%E3%80%90%E7%AF%84%E6%9C%AC%E3%80%91%E5%80%8B%E4%BA%BA%E8

%B3%87%E6%96%99%E6%AA%94%E6%A1%88%E5%AE%89%E5%85%A8%E7%B6

%AD%E8%AD%B7%E8%A8%88%E7%95%AB_2023.docx

https://www.ftc.gov.tw/internet/main/doc/docDetail.aspx?uid=1194&docid=12956

類型目標行動作業平台
本公司對外資訊服務 1. Domain 含 taipower.com.tw 之資訊系統 。 X
2.北部對外服務之網段： 203.74.176.0/24、203.74.177.0/24 。 X
3.中部資訊中心和南部資訊中心之對外服務網段：121.50.188~189.0/24 、 122.146.207.128/26 、122.146.210.128/26 。 X
本公司行動應用APP 台灣電力APP iOS/Android
電力即點 APP
i
S/Android

(B)1. 關於資訊安全管理系統的敘述，下列何者錯誤？

(A) ISO 27001 2022是目前最新版本

(B) 建立資訊安全管理系統必須以 ISO 27001為架構

(C) 機密性、可用性、完整性是 ISO 27001最主要的資安 3要素

(D) ISO 27001資訊安全管理系統是一個持續改善的架構

 

(C)2. 使用微軟提供的功能將檔案加密，主要目的是增加下列資訊安全的何種特性？

(A) 可歸責性（ Accountability）

(B) 可用性（ Availability）

(C) 機密性（ Confidentiality）

(D) 完整性（ Integrity）

靈鷲山
鑫業稅務記帳士事務所
興毅基金會
碩品聯合會計師事務所
新北市鎖匙業職業工會
https://www.nics.nat.gov.tw/core_business/cybersecurity_defense/GCB/

apt update; apt install metasploit-framework

msfconsole

intitle:"index of" etc

intitle:"index of" .sh_history

intitle:"index of" .bash_history

intitle:"index of" passwd
intitle:"index of" people.lst
intitle:"index of" pwd.db
intitle:"index of" etc/shadow
intitle:"index of" spwd
intitle:"index of" master.passwd
intitle:"index of" htpasswd
intitle:"index of" data
Site:URL

inurl:"admin"
inurl:"content-personal"

?filename=php://filter/read=convert.base64-encode/resource=fi.php

?filename=php://filter/covert.base64-encode/resource=fi.php

URL 編碼中的使用

如果你在 URL 中傳遞需要分隔命令的字符（例如 ; 或 &），需要進行相應的 URL 編碼：


 
%3B 代表分號 (;)
 
%26 代表 &


例如，在 Windows 命令行中，如果你需要通過 URL 執行多個命令，應將 & 編碼為 %26。

http://example.com/script.php?command=ping%20localhost%26dir
https://code.visualstudio.com/download

search 查詢可用exploit

use exploit 載到待執行區

show targets 查看選用的exploit適用於那些對象

show payloads 查看配合此模組可用的payload

set payload PAYLOAD 載入適當的payload

show options 查看使用這個exploit及payload應設定的選項

set OPTION VALUE 設定適當的選項值

exploit 執行此exploit

back 回到上一層

https://web.archive.org

recon-ng

load , use 載入模組

show options

show modules

set OPT VAL

run

OWASP ZAP

sudo apt-get update
sudo apt-get upgrade
sudo apt install zaproxy

「新竹縣公共圖書館」計次借閱服務上線！

【Pubu X 文化部】

「新竹縣公共圖書館」計次借閱服務上線！

讓你無限暢讀電子書！

1. 線上申辦 新竹縣公共圖書館借閱證

2. 完成申辦，登入 新竹縣公共圖書館－Pubu 計次借閱服務 閱覽

3. 電腦、平板、閱讀器、手機，跨裝置都好讀！

台灣電力公司對外資訊服務漏洞懸賞活動

台灣電力公司對外資訊服務漏洞懸賞活動

---

⚠️本次活動通報方式為直接透過本公司郵件bugbounty@taipower.com.tw提交通報，若您仍需額外將漏洞細節上架於HITCON ZeroDay，請於回報信件中告知，本公司將誠摯協助處理。

---

一、活動訊息公告

• 本公司的漏洞懸賞活動即日起開跑，歡迎各方好手熱情參與！
• 參賽資格： 持有本國國民身分證者即可參加本次活動。
• 活動時間： 自2024/05/01起至2024/07/31止
• 如遇緊急狀況，本公司得單方面終止活動，並公告於活動網頁，恕不另行通知。

二、通報流程

1. 請您發現漏洞後依據規範(詳見第三點第(一)項)書寫並寄至bugbounty@taipower.com.tw。

2. 本公司將於7個工作天內回覆您並根據漏洞嚴重性儘速修正問題(一般性漏洞約3個月內會修正完成)。

3. 漏洞修正完成後將通知您協助複測。

4. 請依據規範書寫複測報告並寄至bugbounty@taipower.com.tw (詳見第三點第(二)項)。

5. 根據您提交的通報審核獎金額度(詳見第四點第(三)項)後匯款至您的帳戶。

三、 通報規範

通報請包含以下內容：(倘若檔案壓縮後超過12Mb ，請切割檔案批次寄出)

(一) 漏洞報告規範：

1. 姓名
2. 電話
3. 聯絡郵件
4. 學校/公司名稱
5. 職稱
6. IP位址
7. 探測網址
8. 概念性驗證(PoC)說明：請提供可重現漏洞之詳細過程，以利本公司驗證並重現，如詳細記錄：使用之工具、攻擊字串等
9. 修補建議

(二) 複測報告規範：

1. 複測驗證過程：請提供截圖等相關佐證
2. 複測結果
3. (如未通過複測)修補建議

四、獎金說明

(一) 獎金總額：新台幣200萬元整，獎金發放完畢為止

(二) 您必須符合下列所有條件，才有資格獲得獎金：

• 您是具有本國國民身分證者的台灣人民。
• 您是第一位回報特定漏洞的通報者。
• 您是透過本公司唯一管道E-mail(bugbounty@taipower.com.tw)提交通報。
• 您回報的通報經確認為可驗證、重現且符合獎勵資格的漏洞，請提供充足資訊以重現您所回報的問題 。
• 您遵守本計畫的所有條款和規定。

(三) 獎金金額將視所回報漏洞的嚴重性而定：

嚴重程度由本公司內部及外聘之評審視通報內容依漏洞影響程度評判獎金額
【依所得稅法規定，獎金在NT$20,000(含)以上者，依法扣繳10%所得稅】
【 依印花稅法規定，依法扣繳 4% 印花稅 】

嚴 重 程 度	獎 金 額 度 (NTD)	漏 洞 影 響 說 明
嚴重	100,000元～150,000 元	任何由本公司對外服務系統及行動應用APP，進入本公司企業內網(對外服務網段外之10.X.X.X網段)且能造成實質影響之攻擊行為。『請務必提出進入企業內網網段之佐證』
高	50,000元～100,000 元	於本次活動範圍內，對本公司對外服務系統及行動應用APP，造成嚴重影響之任何攻擊行為。
中	20,000元～50,000 元	於本次活動範圍內，對本公司對外服務系統及行動應用APP，造成實質影響之任何攻擊行為。
低	頒發感謝狀/1,000元~5,000元	發現任何符合OWASP Top 10 (2017、2021) 、OWASP Mobile Top 10 (2014、2016)之漏洞且並未對服務系統造成任何實質影響。
非首位通報者	頒發感謝狀	-

(四) 下列攻擊手法不在本次活動範圍：

• 實體存取使用者設備 (Physical access to a user's device)
• 社交工程 (Social engineering)
• 中間人攻擊 (MITM attacks)
• DDoS / Fuzzing / High-Bandwidth 攻擊

五、檢測範圍：

類型	目標	行動作業平台
本公司對外資訊服務	1. Domain 含 taipower.com.tw 之資訊系統 。	X
	2.北部對外服務之網段： 61.65.236.0/23 、61.65.238.0/23 。	X
	3.中部資訊中心和南部資訊中心之對外服務網段：121.50.188~189.0/24 、 122.146.207.128/26 、122.146.210.128/26 。	X
本公司行動應用APP	台灣電力APP	iOS/Android
	電力即點 APP	iOS/Android

六、審核機制

• 本公司成立內、外部含產官學之評審委員會針對您回報的安全性漏洞造成系統實際影響程度審核獎金金額。
• 若提交之通報為針對同一系統的連續攻擊行為，將視為同一則通報合併審核 。

七、漏洞的揭露政策

• 請提供完整詳細的漏洞說明(例如:網址連結或參數)，以及對網站系統影響提出佐證(例如:於發動攻擊前、後之對照畫面)，並包含可重現漏洞的步驟，請務必於通報中完整說明，將由您提交的通報內容判定獎金額度，結果通知後再提出佐證則不予以採納。
• 您通報的漏洞在不影響公司信譽及服務正常運行下，本公司不會採取任何的法律行為。
• 您通報的漏洞不得公開揭露，取得的系統資料或是個人資料，均不得洩漏，如有違反「營業秘密法」、「公平交易法」、「國家機密保護法」等相關之法規內容，除依其情形負刑事責任外，對於本公司因而所致之一切損失，均應依實際損失情形負起全部之損害賠償責任。

八、與我們聯繫

• 本公司漏洞懸賞活動委員會 bugbounty@taipower.com.tw