bug bounty · gratuit de accesat · triere internă

Prinde-ne — primești o recompensă.

Propriul nostru program. Acceptăm două feluri de descoperiri: vulnerabilități clasice (track A) și infirmări ale raportului nostru de securitate (track B). Nivelurile de plată sunt comune pentru ambele; recompensa este creditată în soldul tău de pe platformă.

domeniu

Unde poți vâna.

În domeniu

  • createyourvpn.com și api.createyourvpn.com
  • propriile tale domenii de vitrină
  • un server de test desemnat explicit

În afara domeniului

  • serverele și datele partenerilor și ale utilizatorilor finali
  • denial-of-service / testare de stres
  • inginerie socială, spam, phishing
  • acces fizic

Testarea activă este permisă doar pe standul de preprod (pp.*), astfel încât vânătoarea să nu atingă niciodată partenerii activi sau utilizatorii lor. Problemele care afectează și producția contează în continuare — trebuie doar să le reproduci pe stand.

recompense

Niveluri de plată.

grav€100

RCE; acces la alte servere sau la chei SSH; ocolirea autorizării; infirmarea unei afirmații SR despre stocarea cheilor

mediu€50

IDOR către datele altora; XSS cu deturnarea sesiunii; infirmarea altor afirmații SR

minor€25

XSS cu impact limitat; divulgarea de informații interne

informativHall of fame

note de bune practici; un antet lipsă fără un exploit

reguli

Scurte și oneste.

  • Rulează testele active doar pe standul de preprod desemnat (pp.*) — niciodată împotriva producției ori a serverelor partenerilor sau utilizatorilor.
  • Recompensa merge doar către primul raportor; duplicatele primesc un credit în hall of fame.
  • Este necesar un proof of concept reproductibil; „îți lipsește antetul X” fără un exploit este hall of fame, nu o recompensă.
  • Divulgare responsabilă: 90 de zile de tăcere; răspundem în 72 de ore.
  • Safe harbor: nu vom urmări cercetarea de bună-credință din domeniu.
  • Testează doar pe propriile tale conturi.
  • În afara domeniului: serverele și datele partenerilor și ale utilizatorilor, denial of service, inginerie socială, spam, acces fizic.

Ai găsit ceva?

Trimite un raport cu un proof of concept reproductibil pe email. Ne poți găsi și prin fișierul security.txt de pe domeniile noastre.

security@createyourvpn.com/.well-known/security.txt · 90 de zile de tăcere · safe harbor