Złap nas — zgarnij nagrodę.
Nasz własny program. Przyjmujemy zgłoszenia dwóch rodzajów: klasyczne podatności (ścieżka A) i obalenia naszego raportu bezpieczeństwa (ścieżka B). Progi wypłat są wspólne dla obu; nagroda jest zasilana na twoje saldo platformy.
Gdzie możesz polować.
W zakresie
- createyourvpn.com i api.createyourvpn.com
- twoje własne domeny witryny
- jawnie wyznaczony serwer testowy
Poza zakresem
- serwery i dane partnerów oraz użytkowników końcowych
- odmowa usługi / testy obciążeniowe
- socjotechnika, spam, phishing
- dostęp fizyczny
Aktywne testowanie jest dozwolone wyłącznie na środowisku preprod (pp.*), więc polowanie nigdy nie dotyka żywych partnerów ani ich użytkowników. Problemy, które dotyczą też produkcji, nadal się liczą — po prostu odtwórz je na tym środowisku.
Progi wypłat.
RCE; dostęp do cudzych serwerów lub kluczy SSH; obejście autoryzacji; obalenie twierdzenia SR o przechowywaniu kluczy
IDOR do cudzych danych; XSS z przejęciem sesji; obalenie innych twierdzeń SR
XSS o ograniczonym wpływie; ujawnienie informacji wewnętrznych
uwagi o dobrych praktykach; brakujący nagłówek bez exploita
Krótko i uczciwie.
- Aktywne testy prowadź wyłącznie na wyznaczonym środowisku preprod (pp.*) — nigdy przeciwko produkcji, serwerom partnerów ani użytkowników.
- Nagroda trafia tylko do pierwszego zgłaszającego; duplikaty otrzymują wpis do galerii sław.
- Wymagany jest odtwarzalny proof of concept; „brakuje wam nagłówka X” bez exploita to galeria sław, a nie nagroda.
- Odpowiedzialne ujawnianie: 90 dni ciszy; odpowiadamy w ciągu 72 godzin.
- Bezpieczna przystań: nie będziemy ścigać rzetelnych badań w zakresie.
- Testuj tylko na własnych kontach.
- Poza zakresem: serwery i dane partnerów oraz użytkowników, odmowa usługi, socjotechnika, spam, dostęp fizyczny.
Coś znalazłeś?
Wyślij zgłoszenie z odtwarzalnym proof of concept mailem. Możesz nas też znaleźć przez plik security.txt na naszych domenach.