Program Bug Bounty

FlowHunt si klade za cíl udržet svou službu bezpečnou pro všechny a bezpečnost dat je pro nás zásadní. Pokud jste bezpečnostní výzkumník a odhalili jste zranitelnost ve Službě, oceníme, když ji nahlásíte soukromě, abychom ji mohli opravit před zveřejněním technických detailů.

FlowHunt bude komunikovat s bezpečnostními výzkumníky, když nám budou hlášeny zranitelnosti, jak je popsáno zde. Ověříme, odpovíme a opravíme zranitelnosti v souladu s naším závazkem k bezpečnosti a soukromí. Nebudeme podnikat právní kroky proti těm, kteří zodpovědně objeví a nahlásí zranitelnosti, ani nezrušíme jejich přístup ke Službě. FlowHunt si vyhrazuje veškerá právní práva v případě porušení pravidel.

Hlášení

Sdělte podrobnosti o jakýchkoli podezřelých zranitelnostech vývojovému týmu FlowHunt na support@flowhunt.io . Prosím nezveřejňujte tyto informace mimo tento proces bez výslovného povolení. Při hlášení uveďte co nejvíce informací. Pokud chcete podat více hlášení najednou, odešlete prosím pouze jedno hlášení (to nejdůležitější, pokud možno) a vyčkejte na odpověď.

Kompenzace

Jsme potěšeni, že můžeme nabídnout odměnu za informace o zranitelnostech, které nám pomohou chránit naše zákazníky, jako poděkování bezpečnostním výzkumníkům, kteří se zúčastní programu. Běžná odměna je 100 USD za každou ověřenou zranitelnost.

Odměníme pouze prvního hlásitele zranitelnosti. Veškerá duplicitní hlášení nebudou odměněna.

Rozsah

Testovat smíte pouze proti účtu FlowHunt, jehož jste vlastníkem, nebo za který máte od vlastníka účtu pověření k testování. Například: yourdomain.flowhunt.io

Odměníme následující typy zranitelností:

• Remote Command Execution (RCE)
• SQL Injection
• Broken Authentication
• Broken Session Management
• Access Control Bypass
• Cross-Site Scripting (XSS)
• Open URL Redirection
• Directory Traversal

Hlášení, kde útočník může ohrozit pouze vlastní účet, nebudou odměněna. XSS způsobené administrátorem (Admin) nebude odměněno.