Uhvatite nas — dobijte nagradu.
Naš vlastiti program. Prihvaćamo nalaze dvije vrste: klasične ranjivosti (staza A) i pobijanja našeg sigurnosnog izvještaja (staza B). Platni razredi zajednički su za oboje; nagrada se odobrava na vaše stanje na platformi.
Gdje možete loviti.
U opsegu
- createyourvpn.com i api.createyourvpn.com
- vaše vlastite domene izloga
- izričito određen testni server
Izvan opsega
- serveri i podaci partnera i krajnjih korisnika
- denial-of-service / testiranje opterećenjem
- društveni inženjering, spam, phishing
- fizički pristup
Aktivno testiranje dopušteno je samo na preprod okruženju (pp.*), pa lov nikada ne dira žive partnere ni njihove korisnike. Problemi koji utječu i na produkciju i dalje se broje — samo ih reproducirajte na tom okruženju.
Platni razredi.
RCE; pristup drugim serverima ili SSH ključevima; zaobilaženje autorizacije; pobijanje SR tvrdnje o pohrani ključeva
IDOR do tuđih podataka; XSS s otmicom sesije; pobijanje drugih SR tvrdnji
XSS s ograničenim učinkom; otkrivanje internih informacija
napomene o najboljim praksama; nedostajuće zaglavlje bez exploita
Kratko i iskreno.
- Aktivne testove provodite samo na određenom preprod okruženju (pp.*) — nikada protiv produkcije, servera partnera ili korisnika.
- Nagrada pripada samo prvom prijavitelju; duplikati dobivaju upis u hall of fame.
- Potreban je ponovljiv proof of concept; „nedostaje vam zaglavlje X“ bez exploita je hall of fame, ne nagrada.
- Odgovorno otkrivanje: 90 dana šutnje; odgovaramo u roku od 72 sata.
- Sigurna luka: dobronamjerno istraživanje unutar opsega nećemo progoniti.
- Testirajte samo na vlastitim računima.
- Izvan opsega: serveri i podaci partnera i korisnika, denial of service, društveni inženjering, spam, fizički pristup.
Pronašli ste nešto?
Pošaljite prijavu s ponovljivim proof of conceptom e-mailom. Možete nas pronaći i putem datoteke security.txt na našim domenama.