हमें पकड़ें — इनाम पाएँ।
हमारा अपना प्रोग्राम। हम दो तरह के निष्कर्ष स्वीकार करते हैं: क्लासिक भेद्यताएँ (ट्रैक A) और हमारी सुरक्षा रिपोर्ट का खंडन (ट्रैक B)। भुगतान के स्तर दोनों के लिए साझा हैं; इनाम आपके प्लेटफ़ॉर्म बैलेंस में जमा किया जाता है।
आप कहाँ खोज कर सकते हैं।
दायरे में
- createyourvpn.com और api.createyourvpn.com
- आपके अपने स्टोरफ्रंट डोमेन
- एक स्पष्ट रूप से निर्दिष्ट टेस्ट सर्वर
दायरे से बाहर
- पार्टनरों और end user के सर्वर व डेटा
- डिनायल-ऑफ़-सर्विस / स्ट्रेस टेस्टिंग
- सोशल इंजीनियरिंग, स्पैम, फ़िशिंग
- भौतिक एक्सेस
सक्रिय परीक्षण केवल preprod स्टैंड (pp.*) पर ही अनुमत है, ताकि खोज कभी live पार्टनरों या उनके यूज़र को न छुए। जो समस्याएँ प्रोडक्शन को भी प्रभावित करती हैं वे फिर भी मान्य हैं — बस उन्हें स्टैंड पर पुनरुत्पादित करें।
भुगतान के स्तर।
RCE; अन्य सर्वरों या SSH keys तक एक्सेस; प्राधिकरण बायपास; key संग्रहण के बारे में किसी SR दावे का खंडन
दूसरों के डेटा तक IDOR; सेशन हाईजैकिंग के साथ XSS; अन्य SR दावों का खंडन
सीमित प्रभाव वाला XSS; आंतरिक जानकारी का खुलासा
सर्वोत्तम-प्रथा संबंधी टिप्पणियाँ; बिना किसी exploit के एक ग़ायब हेडर
छोटे और ईमानदार।
- सक्रिय परीक्षण केवल निर्दिष्ट preprod स्टैंड (pp.*) पर ही चलाएँ — प्रोडक्शन, पार्टनर या यूज़र के सर्वरों पर कभी नहीं।
- इनाम केवल पहले रिपोर्ट करने वाले को जाता है; डुप्लिकेट को hall-of-fame क्रेडिट मिलता है।
- एक पुनरुत्पादनीय proof of concept आवश्यक है; बिना किसी exploit के 'आपके पास हेडर X नहीं है' — यह hall of fame है, इनाम नहीं।
- ज़िम्मेदार खुलासा (responsible disclosure): 90 दिन की चुप्पी; हम 72 घंटों के भीतर जवाब देते हैं।
- Safe harbor: दायरे के भीतर सद्भावपूर्ण शोध पर हम कोई कार्रवाई नहीं करेंगे।
- केवल अपने अकाउंट पर परीक्षण करें।
- दायरे से बाहर: पार्टनरों और यूज़र के सर्वर व डेटा, डिनायल ऑफ़ सर्विस, सोशल इंजीनियरिंग, स्पैम, भौतिक एक्सेस।
कुछ मिला?
एक पुनरुत्पादनीय proof of concept के साथ एक रिपोर्ट email द्वारा भेजें। आप हमें हमारे डोमेन पर मौजूद security.txt फ़ाइल के ज़रिए भी पा सकते हैं।