ما را بگیرید — و پاداش بگیرید.
برنامهی خودِ ما. دو نوع یافته میپذیریم: آسیبپذیریهای کلاسیک (مسیر A) و رد کردنِ گزارش امنیتیِ ما (مسیر B). سطوح پرداخت برای هر دو مشترک است؛ پاداش به موجودیِ پلتفرمِ شما اضافه میشود.
کجا میتوانید شکار کنید.
در دامنه
- createyourvpn.com و api.createyourvpn.com
- دامنههای فروشگاهِ خودتان
- یک سرور آزمایشیِ صراحتاً تعیینشده
خارج از دامنه
- سرورها و دادههای شرکا و کاربران نهایی
- منع سرویس / تست فشار
- مهندسی اجتماعی، هرزنامه، فیشینگ
- دسترسی فیزیکی
آزمایشِ فعال فقط روی بسترِ پیشتولید (pp.*) مجاز است، تا شکار هرگز به شرکای زنده یا کاربرانشان دست نزند. مشکلاتی که محیط تولید را نیز تحت تأثیر قرار میدهند همچنان بهحساب میآیند — کافی است آنها را روی همین بستر بازتولید کنید.
سطوح پرداخت.
RCE؛ دسترسی به سرورهای دیگر یا کلیدهای SSH؛ دور زدنِ مجوز؛ رد کردنِ یک ادعای SR دربارهی نگهداری کلید
IDOR به دادههای دیگران؛ XSS با ربایشِ نشست؛ رد کردنِ دیگر ادعاهای SR
XSS با تأثیر محدود؛ افشای اطلاعات داخلی
یادداشتهای بهترین روش؛ یک هدرِ جاافتاده بدون اکسپلویت
کوتاه و صادقانه.
- آزمایشهای فعال را فقط روی بسترِ پیشتولیدِ تعیینشده (pp.*) اجرا کنید — هرگز روی محیط تولید یا سرورهای شرکا و کاربران.
- پاداش فقط به نخستین گزارشدهنده میرسد؛ موارد تکراری اعتبارِ تالار افتخار میگیرند.
- یک اثبات مفهومِ قابلبازتولید لازم است؛ «هدرِ X را جا انداختهاید» بدون اکسپلویت، تالار افتخار است، نه پاداش.
- افشای مسئولانه: ۹۰ روز سکوت؛ ما ظرف ۷۲ ساعت پاسخ میدهیم.
- بندر امن: پژوهش با نیت خیر در محدودهی دامنه را پیگرد نمیکنیم.
- فقط روی حسابهای خودتان آزمایش کنید.
- خارج از دامنه: سرورها و دادههای شرکا و کاربران، منع سرویس، مهندسی اجتماعی، هرزنامه، دسترسی فیزیکی.
چیزی پیدا کردید؟
یک گزارش بههمراه یک اثبات مفهومِ قابلبازتولید از طریق ایمیل بفرستید. همچنین میتوانید ما را از طریق فایل security.txt روی دامنههای ما پیدا کنید.