Pergoki kami — dapatkan ganjaran.
Program kami sendiri. Kami menerima dua jenis penemuan: kerentanan klasik (jalur A) dan sangkalan terhadap laporan keselamatan kami (jalur B). Peringkat pembayaran dikongsi untuk kedua-duanya; ganjaran dikreditkan ke baki platform anda.
Di mana anda boleh memburu.
Dalam skop
- createyourvpn.com dan api.createyourvpn.com
- domain gerai milik anda sendiri
- sebuah server ujian yang ditetapkan secara eksplisit
Di luar skop
- server dan data rakan kongsi serta pengguna akhir
- penafian perkhidmatan (DoS) / ujian tekanan
- kejuruteraan sosial, spam, phishing
- akses fizikal
Ujian aktif hanya dibenarkan pada persekitaran preprod (pp.*), supaya pemburuan tidak pernah menyentuh rakan kongsi yang aktif atau pengguna mereka. Isu yang turut menjejaskan pengeluaran tetap dikira — cukup hasilkannya semula pada persekitaran preprod.
Peringkat pembayaran.
RCE; akses ke server lain atau kunci SSH; pintasan kebenaran; menyangkal dakwaan SR tentang penyimpanan kunci
IDOR ke data orang lain; XSS dengan rampasan sesi; menyangkal dakwaan SR yang lain
XSS dengan kesan terhad; pendedahan maklumat dalaman
nota amalan terbaik; pengepala yang hilang tanpa eksploitasi
Ringkas dan jujur.
- Jalankan ujian aktif hanya pada persekitaran preprod yang ditetapkan (pp.*) — jangan sekali-kali terhadap pengeluaran, server rakan kongsi atau server pengguna.
- Ganjaran hanya diberikan kepada pelapor pertama; pendua mendapat kredit hall of fame.
- Bukti konsep yang boleh dihasilkan semula diwajibkan; 'anda kekurangan pengepala X' tanpa eksploitasi adalah hall of fame, bukan ganjaran.
- Pendedahan bertanggungjawab: 90 hari senyap; kami membalas dalam masa 72 jam.
- Safe harbor: kami tidak akan mengambil tindakan terhadap penyelidikan berniat baik yang berada dalam skop.
- Uji hanya pada akaun anda sendiri.
- Di luar skop: server dan data rakan kongsi serta pengguna, penafian perkhidmatan, kejuruteraan sosial, spam, akses fizikal.
Menemui sesuatu?
Hantar laporan dengan bukti konsep yang boleh dihasilkan semula melalui e-mel. Anda juga boleh menemui kami melalui fail security.txt di domain kami.