SMS-ACTIVATE
Browser
Bug Bounty 計劃的參與規則
歡迎來到錯誤賞金計畫!您的參與有助於提高我們產品和服務的安全性。請熟悉以下規則,以確保有效和道德的合作
註冊與驗證
- 登記: 要參加該計劃,您首先需要註冊該網站 簡訊啟動大師 在註冊過程中提供您的 Telegram 帳戶,以便於溝通;
- 確認: 您必須完成驗證流程才能收到付款。一旦您的報告獲得批准,詳細說明將透過 Telegram 發送給您。
提供報告
- 學習規則: 在提交報告之前,請先熟悉參與規則以及可以考慮的漏洞類型;
- 報告表: 使用頁面上的表格 Error 500 (Server Error)!!1500.That’s an error.There was an error. Please try again later.That’s all we know. 提交您的報告。您的報告應包含對該漏洞的清晰描述、重現漏洞的步驟、證據(螢幕截圖、影片)以及修復漏洞的建議;
- 附加文件: 如有必要,請附加其他文件以確認漏洞;
審查報告流程
我們的安全專家將仔細分析您的報告。此過程可能需要長達三個月的時間。在此期間,報告可能會被分配以下狀態之一:「待處理」、「已排序」、「被主持人拒絕」、「需要更多資訊」等。
漏洞類型
在
您將找到沒有資格獲得獎勵的漏洞類型清單。在
指定了評估漏洞重要性等級的標準。
驗證和隱私
您提供的用於驗證目的的所有個人資料將僅用於識別目的,未經您的同意不會向第三方披露。我們盡最大努力確保您的資料的隱私和安全。
付款方式
成功驗證並確認漏洞後,您將獲得獎勵。獎勵金額根據漏洞的重要性等級和所提供報告的品質來決定。
道德規範
我們希望參與者的行為負責任且符合道德。在修復漏洞之前,不得利用已發現的漏洞造成損害、未經授權存取資料或系統,或傳播有關漏洞的資訊。
結論
我們重視您為提高我們的產品和服務的安全性所做的貢獻。您的參與有助於為我們所有人創造一個更安全的數位空間。
我們祝您在尋找漏洞時好運!您的貢獻是無價的,因此我們感謝您幫助保護我們的系統。
附錄A
不屬於獎勵對象的漏洞類型(被利用不會產生嚴重後果的低階漏洞,包括):
- 乾燥 (只有在嚴重程度較高的情況下才會接受有關此類漏洞的報告;嚴重程度由我們的專家在確認漏洞時確定);
- 任何類型的 XSS 漏洞, 除存儲型 XSS(存儲型 XSS 漏洞報告是否被接受取決於 Web 資源的重要性);
- 點擊劫持;
- 不安全的重定向 URI;
- 已啟用目錄列表 (密碼、備份)和 敏感資料暴露 (取決於披露的數據;如果發現關鍵數據,則接受有關此漏洞的報告);
- 啟用調試模式, 不洩漏關鍵資料;
- CSRF 漏洞, 在不重要的函數中找到;
- 管理面板的揭露 (如果漏洞獵人找到了管理儀表板,但無法執行帳戶接管或獲取其他關鍵資訊);
- 使用者列舉 不洩漏關鍵資料;
- 安全配置錯誤, 如果沒有證據顯示威脅已經實現;
- 拒絕提供服務;
- Error 500 (Server Error)!!1500.That’s an error.There was an error. Please try again later.That’s all we know.
- Error 500 (Server Error)!!1500.That’s an error.There was an error. Please try again later.That’s all we know. 針對員工、承包商或顧客;
- 任何試圖進入財產或資料中心的實體嘗試
- 系統的所有者;
- 使用自動化工具和掃描建立的報告;
- 第三方軟體錯誤;
- 缺少安全標頭 不會直接導致漏洞;
- SSL/TLS 信任違規;
- 僅影響過時或未經許可的瀏覽器和平台的使用者的漏洞;
- 密碼和帳戶恢復政策, 例如重置連結的到期日期或密碼強度;
- 過時的 DNS 記錄, 指向不屬於系統擁有者的系統。
內容
附錄B
按嚴重程度劃分的漏洞類型:
漏洞
低的
中等的
高的
路徑遍歷
10
40
70
已啟用目錄列表
10
40
不安全的重定向 URI
5
10
點擊劫持
5
暴力破解
5
SQL注入(空資料庫、有用資料庫)
10
40
70
XML 外部實體注入
50
70
本地文件包含
50
遠端程式碼執行
10
50
100
身份驗證繞過
50
90
帳號接管
50
90
不安全的直接物件引用
10
儲存型 XSS
20-30
反射式 XSS
10-20
伺服器端請求
40-60
跨站請求偽造
10-20
競賽條件
10
90
伺服器端模板注入
20
80
路徑遍歷
低的
10
中等的
40
高的
70
已啟用目錄列表
低的
10
中等的
40
高的
不安全的重定向 URI
低的
5
中等的
10
高的
點擊劫持
低的
5
中等的
高的
暴力破解
低的
5
中等的
高的
SQL注入(空資料庫、有用資料庫)
低的
10
中等的
40
高的
70
XML 外部實體注入
低的
中等的
50
高的
70
本地文件包含
低的
中等的
50
高的
遠端程式碼執行
低的
10
中等的
50
高的
100
身份驗證繞過
低的
中等的
50
高的
90
帳號接管
低的
中等的
50
高的
90
不安全的直接物件引用
低的
10
中等的
高的
儲存型 XSS
低的
20-30
中等的
高的
反射式 XSS
低的
10-20
中等的
高的
伺服器端請求
低的
中等的
40-60
高的
跨站請求偽造
低的
10-20
中等的
高的
競賽條件
低的
10
中等的
高的
90
伺服器端模板注入
低的
20
中等的
高的
80
依漏洞嚴重程度,評分如下:
- 低重要性等級 - 從 0 到 30 分;
- 中等重要性 - 從 31 到 60 分;
- 高重要性等級 - 從 61 到 100 分。
- 簡訊啟動大師
- hstock.org
- ipkings.io
獎勵
獎勵金額取決於漏洞的嚴重性、利用的難易度以及對用戶數據的影響。關鍵層級通常是與開發人員一起決定的,並且可能需要更長的時間。
漏洞
報酬
遠端程式碼執行 (RCE)
$1500 - $5000
本地文件存取和其他(LFR、RFI、XXE)
$500 - $3000
注射
$500 - $3000
跨站腳本 (XSS),不包括自 XSS
$100 - $500
SSRF,盲人除外
$300 - $1000
盲SSRF
$100 - $500
記憶體洩漏/IDOR/受保護的個人資料或敏感使用者資訊的資訊洩露
$70 - $1150
其他已確認的漏洞
取決於關鍵程度
