Co je Bug Bounty Program FlowHunt?

Bug Bounty Program zve bezpečnostní výzkumníky, aby hledali a hlásili zranitelnosti v softwaru FlowHunt a získali odměnu za způsobilá a ověřená hlášení.

Jak vysoká je odměna za nalezení chyby?

Než se začneme věnovat vašemu dotazu, vezměte prosím na vědomí náš bug bounty program: Kritické platné chyby: 100 USD, Středně závažné platné chyby: 50 USD, Nízká závažnost: Není způsobilé k vyplacení.

Jak mohu nahlásit zranitelnost?

Podrobnosti o podezřelých zranitelnostech sdílejte s bezpečnostním týmem FlowHunt na support@flowhunt.io, včetně co nejvíce informací.

Budu odměněn za duplicitní hlášení?

Ne, pouze první nahlášení zranitelnosti bude odměněno. Duplicitní hlášení nebudou odměněna.

Je vyžadováno zodpovědné zveřejnění?

Ano, zranitelnosti by měly být hlášeny neveřejně a nesmí být zveřejněny před jejich opravou, v souladu se zásadami zodpovědného zveřejnění.

Bug Bounty Program

FlowHunt si klade za cíl udržet své služby bezpečné pro všechny a ochrana dat je nejvyšší prioritou. Pokud jste bezpečnostní výzkumník a objevili jste bezpečnostní zranitelnost ve službě, oceníme, když nám ji neveřejně nahlásíte a dáte nám příležitost ji opravit před zveřejněním technických detailů.

FlowHunt bude spolupracovat s bezpečnostními výzkumníky při nahlášení zranitelností, jak je zde popsáno. Zranitelnosti ověříme, zareagujeme na ně a opravíme v rámci našeho závazku k bezpečnosti a ochraně soukromí. Nebudeme podnikat právní kroky, pozastavovat ani ukončovat přístup ke Službě těm, kteří zodpovědně objeví a nahlásí bezpečnostní zranitelnosti. FlowHunt si vyhrazuje všechna svá právní práva v případě jakéhokoliv nedodržení politiky.

Způsobilost

Abyste se mohli zapojit do našeho bug bounty programu, musíte:

Být starší 18 let
Nebýt současným nebo bývalým zaměstnancem, dodavatelem ani blízkým příbuzným zaměstnance FlowHunt
Nebýt subjektem amerických sankcí ani nežít v zemi pod americkým embargem
Dodržovat všechny platné zákony a předpisy
Řídit se zásadami zodpovědného zveřejnění

Nahlášení

Podrobnosti o všech podezřelých zranitelnostech sdílejte s bezpečnostním týmem FlowHunt na adrese support@flowhunt.io . Tyto informace prosím bez výslovného svolení veřejně nešířte mimo tento proces.

Požadavky na kvalitu hlášení

Vaše hlášení zranitelnosti by mělo obsahovat:

Souhrn: Stručný popis zranitelnosti
Dopad: Potenciální bezpečnostní dopad a obchodní riziko
Kroky k reprodukci: Podrobné, krok za krokem popsané instrukce
Důkaz konceptu: Důkaz, že zranitelnost existuje
Dotčené aktiva: Konkrétní URL adresy, parametry nebo komponenty
Zhodnocení závažnosti: Vaše posouzení úrovně závažnosti
Návrhy na zmírnění: Doporučená opatření (volitelné)

Pokud chcete zaslat více hlášení najednou, odešlete prosím pouze jedno hlášení (pokud možno to nejdůležitější) a vyčkejte na odpověď.

Časová osa reakce

Potvrzení přijetí: Do 5 pracovních dnů od odeslání hlášení
Prvotní posouzení: Do 10 pracovních dnů
Cílové vyřešení: Do 90 dnů pro platné zranitelnosti
Aktualizace: Pravidelné informace o stavu v průběhu procesu

Odměna

S potěšením nabízíme odměnu za informace o zranitelnostech, které nám pomáhají chránit naše zákazníky, jako poděkování bezpečnostním výzkumníkům, kteří se rozhodnou zapojit do našeho bug bounty programu.

Klasifikace závažnosti

Kritická závažnost (100 USD):

Vzdálené spuštění kódu
SQL injection vedoucí k přístupu k datům
Obejití autentizace ovlivňující více uživatelů
Privilegovaná eskalace na úroveň administrátora
Úplné převzetí účtu

Střední závažnost (50 USD):

Cross-site scripting (XSS) s významným dopadem
Obejití řízení přístupu s omezeným dopadem na data
Průchod adresářovou strukturou s přístupem k souborům
Zranitelnosti v řízení relací
Nezabezpečená autentizace ovlivňující jednotlivé uživatele

Nízká závažnost (Není způsobilé k vyplacení):

Menší úniky informací
Self-XSS bez reálného vektoru útoku
Problémy s omezením rychlosti
Chybějící bezpečnostní hlavičky bez využitelného dopadu

Platební podmínky

Odměny jsou vypláceny výhradně přes PayPal
Účastníci bug bounty musí vystavit a zaslat PayPal fakturu
Jiné platební metody nejsou dostupné
Zpracování platby do 30 dnů od přijetí faktury
Všechny platby podléhají platným daňovým předpisům

Odměnu obdrží pouze první nahlášení dané zranitelnosti. Duplicitní hlášení nebudou odměněna.

Rozsah

V rámci programu

Testovat smíte pouze účet FlowHunt, jehož jste vlastníkem, nebo jste agentem, kterého vlastník účtu výslovně pověřil testováním. Například: vasedoména.flowhunt.io

Způsobilá aktiva:

Domény a subdomény *.flowhunt.io
Webové aplikace a API FlowHunt
Mobilní aplikace FlowHunt (pokud jsou k dispozici)

Způsobilé typy zranitelností:

Vzdálené spuštění příkazů (RCE)
SQL Injection
Chybná autentizace
Chybná správa relací
Obejití řízení přístupu
Cross-Site Scripting (XSS)
Otevřené přesměrování URL
Průchod adresářovou strukturou
Server-Side Request Forgery (SSRF)
Chyby v obchodní logice

Mimo rozsah

Zakázané aktivity:

Sociální inženýrství (phishing, vishing atd.)
Fyzické útoky nebo fyzický přístup do prostor FlowHunt
DoS nebo DDoS útoky
Spam, hromadná komunikace nebo automatizované nástroje proti našim systémům
Síťové útoky nebo skenování infrastruktury
Útoky vyžadující fyzický přístup k uživatelským zařízením
Hrubé útoky silou nebo lámání hesel
Testování na účtech, které nevlastníte nebo k nimž nemáte výslovné povolení

Nespadající nálezy:

Hlášení, kdy útočník může ohrozit pouze svůj vlastní účet
XSS způsobené administrátorem nebo privilegovaným uživatelem
Zranitelnosti vyžadující nepravděpodobnou interakci uživatele
Problémy vyžadující instalaci škodlivého softwaru uživatelem
Teoretické zranitelnosti bez jasné možnosti zneužití
Podvržení obsahu bez bezpečnostního dopadu
Chybějící omezení rychlosti bez prokazatelného dopadu
Problémy týkající se pouze zastaralých prohlížečů nebo platforem

Pravidla programu

Pokyny pro testování

Testujte pouze na účtech, které vlastníte, nebo k jejichž testování máte výslovné povolení
Nepřistupujte, neupravujte ani nemažte data patřící jiným uživatelům
Nenarušujte služby ani nesnižujte jejich výkon
Omezte automatizované testování, abyste předešli narušení služeb
Nezveřejňujte zranitelnosti před jejich opravou
Vyvíjejte snahu vyhnout se porušení soukromí a ničení dat

Safe Harbor & Právní ochrana

FlowHunt se zavazuje:

Nepodnikat právní kroky proti výzkumníkům, kteří dodržují tuto politiku
Spolupracovat s výzkumníky při porozumění a ověření bezpečnostních problémů
Uznat platné příspěvky k naší bezpečnosti
Zachovat důvěrnost a nesdělovat identitu výzkumníka bez jeho svolení

Výzkumníci musí:

Dodržovat všechny platné zákony a předpisy
Přistupovat pouze k datům nezbytným k doložení zranitelnosti
Hlásit zranitelnosti rychle a v dobré víře
Zranitelnosti nezneužívat nad rámec potřebný k demonstraci

Časová osa zveřejnění

Ihned: Hlášení zasláno na support@flowhunt.io
90 dní: Standardní doba zveřejnění po původním hlášení
Koordinovaně: Veřejné zveřejnění pouze po vzájemné dohodě
Nouzová situace: Kritické zranitelnosti mohou mít zrychlený harmonogram

Výzkumníci mohou zranitelnosti zveřejnit 90 dní po původním hlášení, nebo po potvrzení řešení ze strany FlowHunt, podle toho, co nastane dříve. Doporučujeme koordinované zveřejnění a budeme s výzkumníky spolupracovat na vhodném načasování.