bug bounty · udział bezpłatny · triage wewnętrzny

Złap nas — zgarnij nagrodę.

Nasz własny program. Przyjmujemy zgłoszenia dwóch rodzajów: klasyczne podatności (ścieżka A) i obalenia naszego raportu bezpieczeństwa (ścieżka B). Progi wypłat są wspólne dla obu; nagroda jest zasilana na twoje saldo platformy.

zakres

Gdzie możesz polować.

W zakresie

  • createyourvpn.com i api.createyourvpn.com
  • twoje własne domeny witryny
  • jawnie wyznaczony serwer testowy

Poza zakresem

  • serwery i dane partnerów oraz użytkowników końcowych
  • odmowa usługi / testy obciążeniowe
  • socjotechnika, spam, phishing
  • dostęp fizyczny

Aktywne testowanie jest dozwolone wyłącznie na środowisku preprod (pp.*), więc polowanie nigdy nie dotyka żywych partnerów ani ich użytkowników. Problemy, które dotyczą też produkcji, nadal się liczą — po prostu odtwórz je na tym środowisku.

nagrody

Progi wypłat.

poważna€100

RCE; dostęp do cudzych serwerów lub kluczy SSH; obejście autoryzacji; obalenie twierdzenia SR o przechowywaniu kluczy

średnia€50

IDOR do cudzych danych; XSS z przejęciem sesji; obalenie innych twierdzeń SR

drobna€25

XSS o ograniczonym wpływie; ujawnienie informacji wewnętrznych

informacyjnaGaleria sław

uwagi o dobrych praktykach; brakujący nagłówek bez exploita

zasady

Krótko i uczciwie.

  • Aktywne testy prowadź wyłącznie na wyznaczonym środowisku preprod (pp.*) — nigdy przeciwko produkcji, serwerom partnerów ani użytkowników.
  • Nagroda trafia tylko do pierwszego zgłaszającego; duplikaty otrzymują wpis do galerii sław.
  • Wymagany jest odtwarzalny proof of concept; „brakuje wam nagłówka X” bez exploita to galeria sław, a nie nagroda.
  • Odpowiedzialne ujawnianie: 90 dni ciszy; odpowiadamy w ciągu 72 godzin.
  • Bezpieczna przystań: nie będziemy ścigać rzetelnych badań w zakresie.
  • Testuj tylko na własnych kontach.
  • Poza zakresem: serwery i dane partnerów oraz użytkowników, odmowa usługi, socjotechnika, spam, dostęp fizyczny.

Coś znalazłeś?

Wyślij zgłoszenie z odtwarzalnym proof of concept mailem. Możesz nas też znaleźć przez plik security.txt na naszych domenach.

security@createyourvpn.com/.well-known/security.txt · 90 dni ciszy · bezpieczna przystań