באג באונטי · הצטרפות חינם · מיון פנימי
תפסו אותנו — וקבלו תגמול.
התוכנית שלנו. אנחנו מקבלים שני סוגי ממצאים: פגיעויות קלאסיות (מסלול A) והפרכות של דוח האבטחה שלנו (מסלול B). דרגות התשלום משותפות לשניהם; התגמול מזוכה ליתרה שלכם בפלטפורמה.
היקף
היכן מותר לצוד.
בהיקף
- createyourvpn.com ו-api.createyourvpn.com
- דומייני החנות שלכם
- שרת בדיקה שיועד במפורש
מחוץ להיקף
- שרתים ונתונים של שותפים ומשתמשי קצה
- מניעת שירות / בדיקות עומס
- הנדסה חברתית, ספאם, דיוג
- גישה פיזית
בדיקה אקטיבית מותרת רק על מתקן ה-preprod (pp.*), כדי שהציד לא ייגע לעולם בשותפים חיים או במשתמשיהם. בעיות שמשפיעות גם על סביבת הייצור עדיין נחשבות — פשוט שחזרו אותן על המתקן.
תגמולים
דרגות תשלום.
מהותי€100
RCE; גישה לשרתים אחרים או למפתחות SSH; עקיפת הרשאה; הפרכת טענת SR על אחסון מפתחות
בינוני€50
IDOR לנתונים של אחרים; XSS עם חטיפת סשן; הפרכת טענות SR אחרות
מזערי€25
XSS עם השפעה מוגבלת; חשיפת מידע פנימי
אינפורמטיביהיכל התהילה
הערות על שיטות עבודה מומלצות; כותרת חסרה ללא ניצול
כללים
קצר וכן.
- הריצו בדיקות אקטיביות רק על מתקן ה-preprod הייעודי (pp.*) — לעולם לא נגד סביבת הייצור או שרתים של שותפים או משתמשים.
- התגמול ניתן רק למדווח הראשון; כפילויות מקבלות זיכוי בהיכל התהילה.
- נדרשת הוכחת היתכנות ניתנת-לשחזור; 'חסרה לכם כותרת X' ללא ניצול היא היכל תהילה, לא תגמול.
- גילוי אחראי: 90 ימי שתיקה; אנחנו מגיבים תוך 72 שעות.
- נמל מבטחים: לא ננקוט צעדים נגד מחקר בתום לב שבתוך ההיקף.
- בדקו רק על החשבונות שלכם.
- מחוץ להיקף: שרתים ונתונים של שותפים ומשתמשים, מניעת שירות, הנדסה חברתית, ספאם, גישה פיזית.
מצאתם משהו?
שלחו דיווח עם הוכחת היתכנות ניתנת-לשחזור באימייל. תוכלו גם למצוא אותנו דרך קובץ ה-security.txt בדומיינים שלנו.
security@createyourvpn.com/.well-known/security.txt · 90 ימי שתיקה · נמל מבטחים