จับผิดเรา — รับรางวัล
โครงการของเราเอง เรารับรายงานสองประเภท: ช่องโหว่แบบคลาสสิก (แทร็ก A) และการหักล้างรายงานความปลอดภัยของเรา (แทร็ก B) ระดับการจ่ายรางวัลใช้ร่วมกันทั้งสองประเภท; รางวัลจะเข้ายอดคงเหลือบนแพลตฟอร์มของคุณ
คุณล่าได้ที่ไหนบ้าง
อยู่ในขอบเขต
- createyourvpn.com และ api.createyourvpn.com
- โดเมนหน้าร้านของคุณเอง
- เซิร์ฟเวอร์ทดสอบที่กำหนดไว้อย่างชัดเจน
อยู่นอกขอบเขต
- เซิร์ฟเวอร์และข้อมูลของพาร์ทเนอร์และผู้ใช้ปลายทาง
- การโจมตีแบบ denial-of-service / การทดสอบภาระ (stress testing)
- วิศวกรรมสังคม (social engineering), สแปม, ฟิชชิง
- การเข้าถึงทางกายภาพ
อนุญาตให้ทดสอบเชิงรุกได้เฉพาะบนสแตนด์พรีโปรด (pp.*) เท่านั้น เพื่อไม่ให้การล่าช่องโหว่ไปกระทบพาร์ทเนอร์จริงหรือผู้ใช้ของพวกเขา ปัญหาที่กระทบโปรดักชันด้วยก็ยังนับ — เพียงแค่ทำซ้ำบนสแตนด์นี้
ระดับการจ่ายรางวัล
RCE; การเข้าถึงเซิร์ฟเวอร์อื่นหรือคีย์ SSH; การข้ามการอนุญาตสิทธิ์; การหักล้างข้อกล่าวอ้าง SR เกี่ยวกับการจัดเก็บคีย์
IDOR ไปยังข้อมูลของผู้อื่น; XSS ที่มีการยึดเซสชัน; การหักล้างข้อกล่าวอ้าง SR อื่น ๆ
XSS ที่มีผลกระทบจำกัด; การเปิดเผยข้อมูลภายใน
ข้อสังเกตด้านแนวปฏิบัติที่ดีที่สุด; เฮดเดอร์ที่ขาดหายไปโดยไม่มีการเจาะ (exploit)
สั้นและตรงไปตรงมา
- ทำการทดสอบเชิงรุกบนสแตนด์พรีโปรดที่กำหนดไว้ (pp.*) เท่านั้น — อย่าทำกับโปรดักชัน เซิร์ฟเวอร์ของพาร์ทเนอร์หรือผู้ใช้เด็ดขาด
- รางวัลมอบให้เฉพาะผู้รายงานคนแรกเท่านั้น; รายงานซ้ำจะได้รับเครดิตใน hall of fame
- ต้องมี proof of concept ที่ทำซ้ำได้; 'คุณขาดเฮดเดอร์ X' โดยไม่มีการเจาะ (exploit) จะได้ hall of fame ไม่ใช่รางวัล
- การเปิดเผยอย่างรับผิดชอบ: เงียบ 90 วัน; เราตอบกลับภายใน 72 ชั่วโมง
- Safe harbor: เราจะไม่ดำเนินการทางกฎหมายต่อการวิจัยโดยสุจริตที่อยู่ในขอบเขต
- ทดสอบเฉพาะกับบัญชีของคุณเองเท่านั้น
- อยู่นอกขอบเขต: เซิร์ฟเวอร์และข้อมูลของพาร์ทเนอร์และผู้ใช้, denial of service, วิศวกรรมสังคม, สแปม, การเข้าถึงทางกายภาพ
เจออะไรบางอย่างไหม?
ส่งรายงานพร้อม proof of concept ที่ทำซ้ำได้ทางอีเมล คุณยังสามารถติดต่อเราได้ผ่านไฟล์ security.txt บนโดเมนของเรา