A rendszerben lévő sebezhetőségek kiküszöbölése és a BTCsquare funkcióinak és szolgáltatásainak további javítása érdekében úgy döntöttünk, hogy meghirdetünk egy bug bounty programot minden kiberbiztonsági kutató számára.
A fejpénz elnyeréséhez javasoljuk, hogy hozzon létre egy fiókot a BTCsquare-en, ahol a fejpénzt tárolni fogjuk. Minden jutalmat PLURA kriptopénzben fizetünk ki.
Csak a sebezhetőség részletes leírását és a koncepció teljes működő bizonyítékát tartalmazó jelentések jogosultak a jutalomra.
Célok:
*.btcsquare.net
A jutalmak köre
A súlyossági szint és a jutalmak köre
L1: 300 USD PLURA kriptopénzben
-A felhasználók eszközeinek biztonságát aláásó sebezhetőségek
-A normál üzleti logikán belüli alkalmazások vagy eljárások megkerülését lehetővé tevő sebezhetőségek
-A felhasználók alapvető információihoz és hitelesítési adataihoz távolról hozzáférést biztosító sebezhetőségek
-A felhasználók titkosítatlan magánkulcsainak és kulcsmagjainak kiszivárgását lehetővé tevő sebezhetőségek
.
L2: 150 USD PLURA kriptopénzben
-Kockázatos információszivárgáshoz vezető sebezhetőségek
-Sérülékenységek, amelyek miatt a BTCsquare nem tud válaszolni a felhasználók API-kéréseire.
L3: 50 USD PLURA kriptopénzben
-A sebezhetőségek, amelyek bizonyos felhasználói információk kiszivárgásához vezetnek interakció vagy pénzügyi csalás révén
-A sebezhetőségek, amelyek miatt a BTCsquare nem tud válaszolni a felhasználói kérésekre a webes vagy mobil oldalról.
L4: 20 USD PLURA kriptopénzben
-A terméktervezési hibák által okozott sebezhetőségek, amelyek nem befolyásolják a felhasználói eszközök biztonságát.
-A webes tárca stabilitását vagy rendelkezésre állását befolyásoló sebezhetőségek
.
Tiltott tevékenységek:
- nem tesztelheti a rendszert más felhasználók fiókjain keresztül
- szkennerek használata automatizált teszteléshez
- túl sok próbálkozás generálása egy kérés bevitelére
.
A következő kérdések nem jogosultak jutalomra:
-A tartalom eldobása
-Cache-kezelési problémák
-A közvetlen visszaélésekhez nem vezető biztonsági fejlécek hiánya
-A biztonságra elhanyagolható hatással bíró CSRF-ek (pl.Hozzáadás a kedvencekhez és a nem élő funkciók eltávolítása)
-A nem biztonságos SSL/TLS titkosítókészletekkel vagy protokollverziókkal kapcsolatos problémák
-A root/jailbreak-et igénylő sebezhetőségek
-A felhasználók eszközeinek fizikai hozzáférését igénylő sebezhetőségek
-Biztonsági hatással nem rendelkező problémák (pl.: nem töltődik be a weboldal)
-Nem-BTCsquare fegyverek
-Phishing (pl.: HTTP alaphitelesítés adathalászat)
-elméleti sebezhetőségek tényleges bizonyíték nélkül
-Email hitelesítési hibák, jelszó-visszaállítási linkek lejárnak, és a jelszó összetettségére vonatkozó irányelvek
-Belső IP-címeket vagy tartományokat felfedő sebezhetőségek
-Tabnabbing
-Self-XSS
-Érvénytelen vagy hiányzó SPF (Sender Policy Framework) rekordok (hiányos vagy hiányzó SPF/DKIM/DMARC)
-Kattintás/UI átalakítás minimális biztonsági hatással
-Email vagy mobileszköz számozás (pl.Pl. e-mailek azonosítása jelszó-visszaállítással
-Információszivárgás minimális biztonsági hatással (pl. veremkövetés, elérési útvonalak felderítése, könyvtárak listája, naplók)
-Belső ismert problémák, visszatérő problémák vagy korábban nyilvánosságra hozott problémák
-Kizárólag a böngészők vagy platformok elavult verzióira vonatkozó sebezhetőségek
-A webes űrlapok automatikus kitöltésével kapcsolatos sebezhetőségek
-A már ismert sebezhető könyvtárak használata tényleges koncepcióbizonyítás nélkül
-A biztonsági jelzők hiánya a cookie-kban
.
Feltételek és feltételek
(1) Fenntartjuk a jogot a jutalmazási program végleges magyarázatának megtételére.
(2) Csak az első bejelentett sérülékenységért kapunk jutalmat.
(3) A BTCsquare felhasználók személyes adatainak vagy tulajdonának ellopása esetén jogi felelősségre vonást kezdeményezünk.
(4) A jutalmat TELJESEN a BTCsquare-en regisztrált számlájára fizetjük.
(5) A bejelentés kivizsgálása 2-3 hetet vehet igénybe.
Ha bármilyen kérdése van, kérjük, lépjen kapcsolatba velünk:
Ügyfélszolgálat.