漏洞悬赏 · 免费参加 · 内部分级

抓住我们——就有奖励。

我们自己的计划。我们接受两类发现:经典漏洞(赛道 A)和对我们安全报告的反驳(赛道 B)。两者共用同一套奖励等级;奖励会计入你的平台余额。

范围

你可以在哪里挖掘。

在范围内

  • createyourvpn.com 和 api.createyourvpn.com
  • 你自己的门店域名
  • 一台明确指定的测试服务器

不在范围内

  • 合作伙伴和最终用户的服务器与数据
  • 拒绝服务 / 压力测试
  • 社会工程、垃圾信息、钓鱼
  • 物理访问

主动测试仅允许在预生产环境(pp.*)上进行,这样挖掘就不会触及正式运营中的合作伙伴或其用户。同样影响生产环境的问题仍然算数——只需在该环境上复现即可。

奖励

奖励等级。

重大€100

RCE;访问他人的服务器或 SSH 密钥;授权绕过;反驳某条关于密钥存储的 SR 主张

中等€50

指向他人数据的 IDOR;带会话劫持的 XSS;反驳其他 SR 主张

轻微€25

影响有限的 XSS;内部信息泄露

信息性名人堂

最佳实践建议;缺失某个响应头但无法利用

规则

简短而坦诚。

  • 仅在指定的预生产环境(pp.*)上运行主动测试——切勿针对生产环境、合作伙伴或用户的服务器。
  • 奖励只发给第一个报告者;重复的报告会获得名人堂署名。
  • 需要提供可复现的概念验证;没有可利用手段的“你缺了某个响应头 X”属于名人堂,而非奖励。
  • 负责任披露:保密 90 天;我们会在 72 小时内回应。
  • 安全港:对范围内善意的研究,我们不会追究。
  • 只在你自己的账户上测试。
  • 不在范围内:合作伙伴和用户的服务器与数据、拒绝服务、社会工程、垃圾信息、物理访问。

有所发现?

通过电子邮件发送一份带有可复现概念验证的报告。你也可以通过我们域名上的 security.txt 文件找到我们。

security@createyourvpn.com/.well-known/security.txt · 90 天保密 · 安全港