Ta oss — få en belønning.
Vårt eget program. Vi tar imot to slags funn: klassiske sårbarheter (spor A) og gjendrivelser av sikkerhetsrapporten vår (spor B). Utbetalingsnivåene er felles for begge; belønningen krediteres plattformsaldoen din.
Hvor du kan jakte.
I omfang
- createyourvpn.com og api.createyourvpn.com
- dine egne butikkfront-domener
- en eksplisitt utpekt testserver
Utenfor omfang
- partneres og sluttbrukeres servere og data
- tjenestenekt / stresstesting
- sosial manipulering, spam, phishing
- fysisk tilgang
Aktiv testing er kun tillatt på preprod-standen (pp.*), slik at jakten aldri berører aktive partnere eller brukerne deres. Problemer som også påvirker produksjon, teller fortsatt — bare reproduser dem på standen.
Utbetalingsnivåer.
RCE; tilgang til andre servere eller SSH-nøkler; omgåelse av autorisasjon; gjendrivelse av en SR-påstand om nøkkellagring
IDOR til andres data; XSS med øktkapring; gjendrivelse av andre SR-påstander
XSS med begrenset virkning; intern informasjonslekkasje
merknader om beste praksis; et manglende hode uten en utnyttelse
Korte og ærlige.
- Kjør aktive tester kun på den utpekte preprod-standen (pp.*) — aldri mot produksjon, partner- eller brukerservere.
- Belønningen går bare til den første som rapporterer; duplikater får en hall of fame-kreditering.
- Et reproduserbart proof of concept kreves; «dere mangler hode X» uten en utnyttelse er hall of fame, ikke en belønning.
- Ansvarlig offentliggjøring: 90 dagers taushet; vi svarer innen 72 timer.
- Trygg havn: vi forfølger ikke forskning i god tro innenfor omfanget.
- Test kun på dine egne kontoer.
- Utenfor omfang: partneres og brukeres servere og data, tjenestenekt, sosial manipulering, spam, fysisk tilgang.
Funnet noe?
Send en rapport med et reproduserbart proof of concept på e-post. Du kan også finne oss via security.txt-filen på domenene våre.