Bug Bounty Program
Deltag i FlowHunts Bug Bounty Program, rapportér sikkerhedssårbarheder ansvarligt, og bliv belønnet for at hjælpe med at holde platformen sikker.
FlowHunt har som mål at holde sin tjeneste sikker for alle, og datasikkerhed har højeste prioritet. Hvis du er sikkerhedsforsker og har opdaget en sikkerhedssårbarhed i tjenesten, sætter vi pris på, at du deler det med os privat og giver os mulighed for at rette fejlen, inden tekniske detaljer offentliggøres.
FlowHunt vil samarbejde med sikkerhedsforskere, når sårbarheder rapporteres til os som beskrevet her. Vi vil validere, svare og rette sårbarheder som led i vores engagement for sikkerhed og privatliv. Vi vil ikke tage retlige skridt, suspendere eller afslutte adgangen til tjenesten for dem, der ansvarligt opdager og rapporterer sikkerhedssårbarheder. FlowHunt forbeholder sig alle juridiske rettigheder i tilfælde af manglende overholdelse.
Berettigelse
For at være berettiget til vores bug bounty-program skal du:
- Være mindst 18 år gammel
- Ikke være nuværende eller tidligere FlowHunt-medarbejder, -konsulent eller nærmeste familiemedlem
- Ikke være underlagt amerikanske sanktioner eller bosiddende i et amerikansk embargo-land
- Overholde alle gældende love og regler
- Følge ansvarlige offentliggørelsespraksisser
Rapportering
Del detaljer om eventuelle mistænkte sårbarheder med FlowHunts sikkerhedsteam på support@flowhunt.io . Offentliggør venligst ikke disse detaljer uden for denne proces uden udtrykkelig tilladelse.
Krav til rapportkvalitet
Din sårbarhedsrapport bør indeholde:
- Resumé: Kort beskrivelse af sårbarheden
- Påvirkning: Potentiel sikkerhedsmæssig påvirkning og forretningsrisiko
- Gengivelsestrin: Detaljerede trin-for-trin-instruktioner
- Proof of Concept: Dokumentation, der demonstrerer sårbarheden
- Berørte aktiver: Specifikke URL’er, parametre eller komponenter
- Alvorlighedsvurdering: Din vurdering af alvorlighedsniveauet
- Forslag til afhjælpning: Anbefalede rettelser (valgfrit)
Hvis du ønsker at indsende flere rapporter på én gang, bedes du kun indsende én rapport (helst den vigtigste) og vente på svar.
Svartider
- Bekræftelse: Inden for 5 arbejdsdage efter indsendelse af rapporten
- Indledende vurdering: Inden for 10 arbejdsdage
- Løsningsmål: Inden for 90 dage for gyldige sårbarheder
- Opdateringer: Løbende statusopdateringer gennem processen
Kompensation
Vi er glade for at kunne tilbyde en bounty for oplysninger om sårbarheder, der hjælper os med at beskytte vores kunder, som tak til de sikkerhedsforskere, der vælger at deltage i vores bug bounty-program.
Alvorlighedsklassificering
Kritisk alvorlighed ($100):
- Fjernudførelse af kode
- SQL-injektion med adgang til data
- Omgåelse af autentificering, der påvirker flere brugere
- Privilegieeskalering til admin-niveau
- Fuld overtagelse af konto
Mellem alvorlighed ($50):
- Cross-site scripting (XSS) med betydelig påvirkning
- Omgåelse af adgangskontrol, der påvirker begrænsede data
- Directory traversal med filadgang
- Sårbarheder i session management
- Brudt autentificering for enkelte brugere
Lav alvorlighed (Ikke berettiget til udbetaling):
- Mindre informationslækage
- Self-XSS uden realistisk angrebsvektor
- Problemer med rate limiting
- Manglende sikkerhedsheaders uden udnyttelig påvirkning
Betalingsbetingelser
- Bounties udbetales udelukkende via PayPal
- Bug bounty-hunters skal oprette og sende en PayPal-faktura
- Ingen andre betalingsmetoder er tilgængelige
- Betaling behandles inden for 30 dage efter modtagelse af faktura
- Alle betalinger er underlagt gældende skatteregler
Vi belønner kun den første, der rapporterer en sårbarhed. Eventuelle dublette rapporter vil ikke blive belønnet.
Omfang
Inden for omfang
Du må kun teste på en FlowHunt-konto, hvor du er kontoejer eller en agent, der er bemyndiget af kontoejeren til at udføre sådan test. For eksempel: dindomæne.flowhunt.io
Berettigede aktiver:
- *.flowhunt.io domæner og subdomæner
- FlowHunt webapplikationer og API’er
- FlowHunt mobilapplikationer (hvis relevant)
Berettigede sårbarhedstyper:
- Fjernudførelse af kommandoer (RCE)
- SQL-injektion
- Brudt autentificering
- Brudt session management
- Omgåelse af adgangskontrol
- Cross-Site Scripting (XSS)
- Åben URL-omdirigering
- Directory traversal
- Server-Side Request Forgery (SSRF)
- Forretningslogiske fejl
Uden for omfang
Forbudte aktiviteter:
- Social engineering-angreb (phishing, vishing osv.)
- Fysiske angreb eller fysisk adgang til FlowHunt-faciliteter
- DoS- eller DDoS-angreb (Denial of Service)
- Spam, massekommunikation eller automatiserede værktøjer mod vores systemer
- Netværksangreb eller scanning af infrastruktur
- Angreb, der kræver fysisk adgang til brugerens enheder
- Brute force-angreb eller adgangskodeknækning
- Test på konti, du ikke ejer eller har udtrykkelig tilladelse til at teste
Ikke-berettigede fund:
- Rapporter hvor en angriber kun kan true sin egen konto
- XSS forårsaget af en admin eller privilegeret bruger
- Sårbarheder der kræver usandsynlig brugerinteraktion
- Problemer, der kræver at brugeren installerer skadelig software
- Teoretiske sårbarheder uden klar udnyttelsesvej
- Indholdsspoofing uden sikkerhedsmæssig betydning
- Manglende rate limiting uden demonstrerbar effekt
- Problemer, der kun påvirker forældede browsere eller platforme
Programmets regler
Testretningslinjer
- Test kun på konti, du ejer eller har udtrykkelig tilladelse til at teste
- Adgang, ændr eller slet ikke andre brugeres data
- Forstyr ikke vores tjenester eller forring ydelsen
- Begræns automatiseret test for at undgå serviceforstyrrelser
- Offentliggør ikke sårbarheder, før de er rettet
- Gør en god indsats for at undgå brud på privatliv og destruktion af data
Safe Harbor & Juridisk beskyttelse
FlowHunt forpligter sig til at:
- Ikke føre retssager mod forskere, der overholder denne politik
- Samarbejde med forskere for at forstå og validere sikkerhedsproblemer
- Anerkende gyldige bidrag til vores sikkerhed
- Opretholde fortrolighed og ikke dele forskerens identitet uden tilladelse
Forskere skal:
- Følge alle gældende love og regler
- Kun få adgang til data, der er nødvendige for at demonstrere sårbarheden
- Rapportere sårbarheder hurtigt og i god tro
- Ikke udnytte sårbarheder ud over det nødvendige for demonstration
Offentliggørelsestidslinje
- Straks: Rapport indsendt til support@flowhunt.io
- 90 dage: Standardtidslinje for offentliggørelse efter første rapport
- Koordineret: Offentliggørelse kun efter gensidig aftale
- Nødsituation: Kritiske sårbarheder kan have accelererede tidsplaner
Forskere kan offentliggøre sårbarheder 90 dage efter den første rapport eller efter FlowHunt bekræfter, at problemet er løst, alt efter hvad der kommer først. Vi opfordrer til koordineret offentliggørelse og samarbejder gerne med forskere om passende timing.
Ofte stillede spørgsmål
- Hvad er FlowHunt Bug Bounty Program?
Bug Bounty-programmet inviterer sikkerhedsforskere til at finde og rapportere sårbarheder i FlowHunts software og blive belønnet for kvalificerede og verificerede indsendelser.
- Hvor meget er bounty-belønningen?
Inden vi imødekommer dine bekymringer, bedes du bemærke vores bug bounty-politik: Kritiske gyldige fejl: $100, Mellem gyldige fejl: $50, Lav alvorlighed: Ikke berettiget til udbetaling.
- Hvordan rapporterer jeg en sårbarhed?
Del detaljer om eventuelle mistænkte sårbarheder med FlowHunts sikkerhedsteam på support@flowhunt.io og inkludér så mange oplysninger som muligt.
- Bliver jeg belønnet for dublette rapporter?
Nej, kun den første, der rapporterer en sårbarhed, bliver belønnet. Dublette rapporter modtager ikke bounty.
- Er ansvarlig offentliggørelse påkrævet?
Ja, sårbarheder skal rapporteres privat og ikke offentliggøres, før de er rettet, i henhold til politikken for ansvarlig offentliggørelse.
Rapportér sårbarheder og optjen belønninger
Hjælp med at holde FlowHunt sikker ved at deltage i vores Bug Bounty Program. Rapportér sårbarheder og modtag kompensation for din ansvarlige offentliggørelse.