漏洞懸賞 · 免費參加 · 內部分級
抓住我們——就有獎勵。
我們自己的計畫。我們接受兩類發現:經典漏洞(賽道 A)和對我們安全報告的反駁(賽道 B)。兩者共用同一套獎勵等級;獎勵會計入你的平台餘額。
範圍
你可以在哪裡挖掘。
在範圍內
- createyourvpn.com 和 api.createyourvpn.com
- 你自己的商店網域
- 一台明確指定的測試伺服器
不在範圍內
- 合作夥伴和最終使用者的伺服器與資料
- 阻斷服務 / 壓力測試
- 社交工程、垃圾訊息、釣魚
- 實體存取
主動測試僅允許在預生產環境(pp.*)上進行,這樣挖掘就不會觸及正式營運中的合作夥伴或其使用者。同樣影響生產環境的問題仍然算數——只需在該環境上重現即可。
獎勵
獎勵等級。
重大€100
RCE;存取他人的伺服器或 SSH 金鑰;授權繞過;反駁某條關於金鑰儲存的 SR 主張
中等€50
指向他人資料的 IDOR;帶工作階段劫持的 XSS;反駁其他 SR 主張
輕微€25
影響有限的 XSS;內部資訊洩漏
資訊性名人堂
最佳實務建議;缺少某個標頭但無法利用
規則
簡短而坦誠。
- 僅在指定的預生產環境(pp.*)上執行主動測試——切勿針對生產環境、合作夥伴或使用者的伺服器。
- 獎勵只發給第一個回報者;重複的報告會獲得名人堂署名。
- 需要提供可重現的概念驗證;沒有可利用手段的「你缺了某個標頭 X」屬於名人堂,而非獎勵。
- 負責任揭露:保密 90 天;我們會在 72 小時內回應。
- 安全港:對範圍內善意的研究,我們不會追究。
- 只在你自己的帳戶上測試。
- 不在範圍內:合作夥伴和使用者的伺服器與資料、阻斷服務、社交工程、垃圾訊息、實體存取。
有所發現?
透過電子郵件寄送一份帶有可重現概念驗證的報告。你也可以透過我們網域上的 security.txt 檔案找到我們。
security@createyourvpn.com/.well-known/security.txt · 90 天保密 · 安全港