漏洞悬赏 · 免费参加 · 内部分级
抓住我们——就有奖励。
我们自己的计划。我们接受两类发现:经典漏洞(赛道 A)和对我们安全报告的反驳(赛道 B)。两者共用同一套奖励等级;奖励会计入你的平台余额。
范围
你可以在哪里挖掘。
在范围内
- createyourvpn.com 和 api.createyourvpn.com
- 你自己的门店域名
- 一台明确指定的测试服务器
不在范围内
- 合作伙伴和最终用户的服务器与数据
- 拒绝服务 / 压力测试
- 社会工程、垃圾信息、钓鱼
- 物理访问
主动测试仅允许在预生产环境(pp.*)上进行,这样挖掘就不会触及正式运营中的合作伙伴或其用户。同样影响生产环境的问题仍然算数——只需在该环境上复现即可。
奖励
奖励等级。
重大€100
RCE;访问他人的服务器或 SSH 密钥;授权绕过;反驳某条关于密钥存储的 SR 主张
中等€50
指向他人数据的 IDOR;带会话劫持的 XSS;反驳其他 SR 主张
轻微€25
影响有限的 XSS;内部信息泄露
信息性名人堂
最佳实践建议;缺失某个响应头但无法利用
规则
简短而坦诚。
- 仅在指定的预生产环境(pp.*)上运行主动测试——切勿针对生产环境、合作伙伴或用户的服务器。
- 奖励只发给第一个报告者;重复的报告会获得名人堂署名。
- 需要提供可复现的概念验证;没有可利用手段的“你缺了某个响应头 X”属于名人堂,而非奖励。
- 负责任披露:保密 90 天;我们会在 72 小时内回应。
- 安全港:对范围内善意的研究,我们不会追究。
- 只在你自己的账户上测试。
- 不在范围内:合作伙伴和用户的服务器与数据、拒绝服务、社会工程、垃圾信息、物理访问。
有所发现?
通过电子邮件发送一份带有可复现概念验证的报告。你也可以通过我们域名上的 security.txt 文件找到我们。
security@createyourvpn.com/.well-known/security.txt · 90 天保密 · 安全港