باگ‌باونتی · پیوستن رایگان · دسته‌بندی داخلی

ما را بگیرید — و پاداش بگیرید.

برنامه‌ی خودِ ما. دو نوع یافته می‌پذیریم: آسیب‌پذیری‌های کلاسیک (مسیر A) و رد کردنِ گزارش امنیتیِ ما (مسیر B). سطوح پرداخت برای هر دو مشترک است؛ پاداش به موجودیِ پلتفرمِ شما اضافه می‌شود.

دامنه

کجا می‌توانید شکار کنید.

در دامنه

  • createyourvpn.com و api.createyourvpn.com
  • دامنه‌های فروشگاهِ خودتان
  • یک سرور آزمایشیِ صراحتاً تعیین‌شده

خارج از دامنه

  • سرورها و داده‌های شرکا و کاربران نهایی
  • منع سرویس / تست فشار
  • مهندسی اجتماعی، هرزنامه، فیشینگ
  • دسترسی فیزیکی

آزمایشِ فعال فقط روی بسترِ پیش‌تولید (pp.*) مجاز است، تا شکار هرگز به شرکای زنده یا کاربران‌شان دست نزند. مشکلاتی که محیط تولید را نیز تحت تأثیر قرار می‌دهند همچنان به‌حساب می‌آیند — کافی است آن‌ها را روی همین بستر بازتولید کنید.

پاداش‌ها

سطوح پرداخت.

بزرگ€100

RCE؛ دسترسی به سرورهای دیگر یا کلیدهای SSH؛ دور زدنِ مجوز؛ رد کردنِ یک ادعای SR درباره‌ی نگهداری کلید

متوسط€50

IDOR به داده‌های دیگران؛ XSS با ربایشِ نشست؛ رد کردنِ دیگر ادعاهای SR

کوچک€25

XSS با تأثیر محدود؛ افشای اطلاعات داخلی

اطلاع‌رسانیتالار افتخار

یادداشت‌های بهترین‌ روش؛ یک هدرِ جاافتاده بدون اکسپلویت

قواعد

کوتاه و صادقانه.

  • آزمایش‌های فعال را فقط روی بسترِ پیش‌تولیدِ تعیین‌شده (pp.*) اجرا کنید — هرگز روی محیط تولید یا سرورهای شرکا و کاربران.
  • پاداش فقط به نخستین گزارش‌دهنده می‌رسد؛ موارد تکراری اعتبارِ تالار افتخار می‌گیرند.
  • یک اثبات مفهومِ قابل‌بازتولید لازم است؛ «هدرِ X را جا انداخته‌اید» بدون اکسپلویت، تالار افتخار است، نه پاداش.
  • افشای مسئولانه: ۹۰ روز سکوت؛ ما ظرف ۷۲ ساعت پاسخ می‌دهیم.
  • بندر امن: پژوهش با نیت خیر در محدوده‌ی دامنه را پیگرد نمی‌کنیم.
  • فقط روی حساب‌های خودتان آزمایش کنید.
  • خارج از دامنه: سرورها و داده‌های شرکا و کاربران، منع سرویس، مهندسی اجتماعی، هرزنامه، دسترسی فیزیکی.

چیزی پیدا کردید؟

یک گزارش به‌همراه یک اثبات مفهومِ قابل‌بازتولید از طریق ایمیل بفرستید. همچنین می‌توانید ما را از طریق فایل security.txt روی دامنه‌های ما پیدا کنید.

security@createyourvpn.com/.well-known/security.txt · ۹۰ روز سکوت · بندر امن