Bizi yakalayın — bir ödül kazanın.
Kendi programımız. İki tür bulgu kabul ediyoruz: klasik güvenlik açıkları (kulvar A) ve güvenlik raporumuzun çürütülmesi (kulvar B). Ödeme seviyeleri her ikisi için ortaktır; ödül platform bakiyenize eklenir.
Nerede av yapabilirsiniz.
Kapsam içi
- createyourvpn.com ve api.createyourvpn.com
- kendi vitrin alan adlarınız
- açıkça belirlenmiş bir test sunucusu
Kapsam dışı
- iş ortaklarının ve son kullanıcıların sunucuları ve verileri
- hizmet reddi (DoS) / stres testi
- sosyal mühendislik, spam, kimlik avı (phishing)
- fiziksel erişim
Aktif test yalnızca preprod ortamında (pp.*) yapılabilir; böylece av, canlı iş ortaklarına veya onların kullanıcılarına asla dokunmaz. Üretimi de etkileyen sorunlar yine de geçerlidir — bunları yalnızca preprod ortamında yeniden üretmeniz yeterli.
Ödeme seviyeleri.
RCE; başka sunuculara veya SSH anahtarlarına erişim; yetkilendirme atlatma; anahtar saklama ile ilgili bir SR iddiasını çürütme
Başkalarının verilerine IDOR; oturum ele geçirmeli XSS; diğer SR iddialarını çürütme
Sınırlı etkili XSS; dahili bilgi ifşası
en iyi uygulama notları; istismarı olmayan eksik bir başlık
Kısa ve dürüst.
- Aktif testleri yalnızca bunun için belirlenmiş preprod ortamında (pp.*) çalıştırın — asla üretime, iş ortağı veya kullanıcı sunucularına karşı değil.
- Ödül yalnızca ilk bildirene gider; yinelenenler onur listesi kaydı alır.
- Yeniden üretilebilir bir kavram kanıtı (PoC) gereklidir; istismar olmadan 'X başlığı eksik' demek ödül değil, onur listesidir.
- Sorumlu ifşa: 90 gün sessizlik; 72 saat içinde yanıt veririz.
- Güvenli liman: kapsam içindeki iyi niyetli araştırmaları takip etmeyeceğiz.
- Yalnızca kendi hesaplarınızda test edin.
- Kapsam dışı: iş ortaklarının ve kullanıcıların sunucuları ve verileri, hizmet reddi, sosyal mühendislik, spam, fiziksel erişim.
Bir şey mi buldunuz?
Yeniden üretilebilir bir kavram kanıtı içeren bir raporu e-posta ile gönderin. Ayrıca alan adlarımızdaki security.txt dosyası aracılığıyla da bize ulaşabilirsiniz.