Поймайте нас — получите награду.
Наша собственная программа. Мы принимаем находки двух видов: классические уязвимости (трек A) и опровержения нашего отчёта по безопасности (трек B). Уровни выплат общие для обоих; награда зачисляется на ваш баланс платформы.
Где можно охотиться.
В области
- createyourvpn.com и api.createyourvpn.com
- ваши собственные домены витрины
- явно обозначенный тестовый сервер
Вне области
- серверы и данные партнёров и конечных пользователей
- отказ в обслуживании / стресс-тестирование
- социальная инженерия, спам, фишинг
- физический доступ
Активное тестирование разрешено только на препрод-стенде (pp.*), поэтому охота никогда не задевает живых партнёров или их пользователей. Проблемы, которые затрагивают и прод, всё равно засчитываются — просто воспроизведите их на стенде.
Уровни выплат.
RCE; доступ к чужим серверам или SSH-ключам; обход авторизации; опровержение SR-утверждения о хранении ключей
IDOR к чужим данным; XSS с перехватом сессии; опровержение других SR-утверждений
XSS с ограниченным влиянием; раскрытие внутренней информации
замечания о лучших практиках; отсутствующий заголовок без эксплойта
Коротко и честно.
- Проводите активные тесты только на выделенном препрод-стенде (pp.*) — никогда против прода, серверов партнёров или пользователей.
- Награда достаётся только первому сообщившему; дубликаты попадают в зал славы.
- Требуется воспроизводимый proof of concept; «у вас нет заголовка X» без эксплойта — это зал славы, а не награда.
- Ответственное раскрытие: 90 дней тишины; мы отвечаем в течение 72 часов.
- Безопасная гавань: мы не преследуем добросовестное исследование в рамках области.
- Тестируйте только на своих собственных аккаунтах.
- Вне области: серверы и данные партнёров и пользователей, отказ в обслуживании, социальная инженерия, спам, физический доступ.
Что-то нашли?
Отправьте отчёт с воспроизводимым proof of concept по email. Также нас можно найти через файл security.txt на наших доменах.