bug bounty · ingyenes csatlakozás · házon belüli triage

Kapj el minket — szerezz jutalmat.

A saját programunk. Kétféle bejelentést fogadunk el: klasszikus sebezhetőségek (track A) és a biztonsági jelentésünk cáfolatai (track B). A kifizetési szintek mindkettőre közösek; a jutalom a platformegyenlegedre kerül jóváírásra.

hatókör

Hol vadászhatsz.

Hatókörön belül

  • createyourvpn.com és api.createyourvpn.com
  • a saját storefront-domainjeid
  • egy kifejezetten kijelölt tesztszerver

Hatókörön kívül

  • partnerek és végfelhasználók szerverei és adatai
  • szolgáltatásmegtagadás / terheléses tesztelés
  • social engineering, spam, adathalászat
  • fizikai hozzáférés

Az aktív tesztelés csak a preprod környezetben (pp.*) engedélyezett, így a vadászat soha nem érinti az élő partnereket vagy a felhasználóikat. Azok a hibák, amelyek az éles környezetet is érintik, továbbra is számítanak — csak reprodukáld őket a preprod környezetben.

jutalmak

Kifizetési szintek.

nagy€100

RCE; hozzáférés más szerverekhez vagy SSH-kulcsokhoz; jogosultságkezelés megkerülése; kulcstárolásról szóló SR-állítás megcáfolása

közepes€50

IDOR mások adataihoz; XSS munkamenet-eltérítéssel; más SR-állítások megcáfolása

kis€25

XSS korlátozott hatással; belső információ kiszivárgása

tájékoztató jellegűHall of fame

bevált gyakorlatokra vonatkozó megjegyzések; hiányzó fejléc exploit nélkül

szabályok

Röviden és őszintén.

  • Az aktív teszteket csak a kijelölt preprod környezetben (pp.*) futtasd — soha ne az éles környezet, a partnerek vagy a felhasználók szerverei ellen.
  • A jutalom csak az első bejelentőnek jár; a duplikátumok hall of fame-jóváírást kapnak.
  • Reprodukálható proof of concept szükséges; a 'hiányzik nálad az X fejléc' exploit nélkül hall of fame, nem jutalom.
  • Felelős közzététel: 90 nap csend; 72 órán belül válaszolunk.
  • Safe harbor: nem lépünk fel a hatókörön belüli, jóhiszemű kutatás ellen.
  • Csak a saját fiókjaidon tesztelj.
  • Hatókörön kívül: partnerek és felhasználók szerverei és adatai, szolgáltatásmegtagadás, social engineering, spam, fizikai hozzáférés.

Találtál valamit?

Küldj egy bejelentést reprodukálható proof of concepttel e-mailben. Megtalálhatsz minket a domainjeinken lévő security.txt fájlon keresztül is.

security@createyourvpn.com/.well-known/security.txt · 90 nap csend · safe harbor