bug bounty · percuma disertai · triaj dalaman

Pergoki kami — dapatkan ganjaran.

Program kami sendiri. Kami menerima dua jenis penemuan: kerentanan klasik (jalur A) dan sangkalan terhadap laporan keselamatan kami (jalur B). Peringkat pembayaran dikongsi untuk kedua-duanya; ganjaran dikreditkan ke baki platform anda.

skop

Di mana anda boleh memburu.

Dalam skop

  • createyourvpn.com dan api.createyourvpn.com
  • domain gerai milik anda sendiri
  • sebuah server ujian yang ditetapkan secara eksplisit

Di luar skop

  • server dan data rakan kongsi serta pengguna akhir
  • penafian perkhidmatan (DoS) / ujian tekanan
  • kejuruteraan sosial, spam, phishing
  • akses fizikal

Ujian aktif hanya dibenarkan pada persekitaran preprod (pp.*), supaya pemburuan tidak pernah menyentuh rakan kongsi yang aktif atau pengguna mereka. Isu yang turut menjejaskan pengeluaran tetap dikira — cukup hasilkannya semula pada persekitaran preprod.

ganjaran

Peringkat pembayaran.

besar€100

RCE; akses ke server lain atau kunci SSH; pintasan kebenaran; menyangkal dakwaan SR tentang penyimpanan kunci

sederhana€50

IDOR ke data orang lain; XSS dengan rampasan sesi; menyangkal dakwaan SR yang lain

kecil€25

XSS dengan kesan terhad; pendedahan maklumat dalaman

bermaklumatHall of fame

nota amalan terbaik; pengepala yang hilang tanpa eksploitasi

peraturan

Ringkas dan jujur.

  • Jalankan ujian aktif hanya pada persekitaran preprod yang ditetapkan (pp.*) — jangan sekali-kali terhadap pengeluaran, server rakan kongsi atau server pengguna.
  • Ganjaran hanya diberikan kepada pelapor pertama; pendua mendapat kredit hall of fame.
  • Bukti konsep yang boleh dihasilkan semula diwajibkan; 'anda kekurangan pengepala X' tanpa eksploitasi adalah hall of fame, bukan ganjaran.
  • Pendedahan bertanggungjawab: 90 hari senyap; kami membalas dalam masa 72 jam.
  • Safe harbor: kami tidak akan mengambil tindakan terhadap penyelidikan berniat baik yang berada dalam skop.
  • Uji hanya pada akaun anda sendiri.
  • Di luar skop: server dan data rakan kongsi serta pengguna, penafian perkhidmatan, kejuruteraan sosial, spam, akses fizikal.

Menemui sesuatu?

Hantar laporan dengan bukti konsep yang boleh dihasilkan semula melalui e-mel. Anda juga boleh menemui kami melalui fail security.txt di domain kami.

security@createyourvpn.com/.well-known/security.txt · 90 hari senyap · safe harbor