באג באונטי · הצטרפות חינם · מיון פנימי

תפסו אותנו — וקבלו תגמול.

התוכנית שלנו. אנחנו מקבלים שני סוגי ממצאים: פגיעויות קלאסיות (מסלול A) והפרכות של דוח האבטחה שלנו (מסלול B). דרגות התשלום משותפות לשניהם; התגמול מזוכה ליתרה שלכם בפלטפורמה.

היקף

היכן מותר לצוד.

בהיקף

  • createyourvpn.com ו-api.createyourvpn.com
  • דומייני החנות שלכם
  • שרת בדיקה שיועד במפורש

מחוץ להיקף

  • שרתים ונתונים של שותפים ומשתמשי קצה
  • מניעת שירות / בדיקות עומס
  • הנדסה חברתית, ספאם, דיוג
  • גישה פיזית

בדיקה אקטיבית מותרת רק על מתקן ה-preprod (pp.*), כדי שהציד לא ייגע לעולם בשותפים חיים או במשתמשיהם. בעיות שמשפיעות גם על סביבת הייצור עדיין נחשבות — פשוט שחזרו אותן על המתקן.

תגמולים

דרגות תשלום.

מהותי€100

RCE; גישה לשרתים אחרים או למפתחות SSH; עקיפת הרשאה; הפרכת טענת SR על אחסון מפתחות

בינוני€50

IDOR לנתונים של אחרים; XSS עם חטיפת סשן; הפרכת טענות SR אחרות

מזערי€25

XSS עם השפעה מוגבלת; חשיפת מידע פנימי

אינפורמטיביהיכל התהילה

הערות על שיטות עבודה מומלצות; כותרת חסרה ללא ניצול

כללים

קצר וכן.

  • הריצו בדיקות אקטיביות רק על מתקן ה-preprod הייעודי (pp.*) — לעולם לא נגד סביבת הייצור או שרתים של שותפים או משתמשים.
  • התגמול ניתן רק למדווח הראשון; כפילויות מקבלות זיכוי בהיכל התהילה.
  • נדרשת הוכחת היתכנות ניתנת-לשחזור; 'חסרה לכם כותרת X' ללא ניצול היא היכל תהילה, לא תגמול.
  • גילוי אחראי: 90 ימי שתיקה; אנחנו מגיבים תוך 72 שעות.
  • נמל מבטחים: לא ננקוט צעדים נגד מחקר בתום לב שבתוך ההיקף.
  • בדקו רק על החשבונות שלכם.
  • מחוץ להיקף: שרתים ונתונים של שותפים ומשתמשים, מניעת שירות, הנדסה חברתית, ספאם, גישה פיזית.

מצאתם משהו?

שלחו דיווח עם הוכחת היתכנות ניתנת-לשחזור באימייל. תוכלו גם למצוא אותנו דרך קובץ ה-security.txt בדומיינים שלנו.

security@createyourvpn.com/.well-known/security.txt · 90 ימי שתיקה · נמל מבטחים