Bug Bounty-program
Bli med i FlowHunt Bug Bounty-programmet, rapporter sikkerhetssårbarheter på en ansvarlig måte, og få belønning for å bidra til en tryggere plattform.
FlowHunt har som mål å holde tjenesten trygg for alle, og datasikkerhet er av høyeste betydning. Dersom du er sikkerhetsforsker og har oppdaget en sikkerhetssårbarhet i tjenesten, setter vi pris på at du varsler oss privat og gir oss en mulighet til å rette opp før tekniske detaljer publiseres.
FlowHunt vil samarbeide med sikkerhetsforskere når sårbarheter rapporteres til oss som beskrevet her. Vi vil validere, svare og rette sårbarheter som et ledd i vårt engasjement for sikkerhet og personvern. Vi vil ikke iverksette rettslige skritt mot, suspendere eller stenge tilgangen til tjenesten for de som oppdager og rapporterer sikkerhetssårbarheter på en ansvarlig måte. FlowHunt forbeholder seg alle juridiske rettigheter ved eventuell manglende overholdelse.
Kvalifikasjonskrav
For å være kvalifisert for vårt bug bounty-program må du:
- Være minst 18 år gammel
- Ikke være nåværende eller tidligere FlowHunt-ansatt, konsulent eller nærmeste familiemedlem
- Ikke være underlagt amerikanske sanksjoner eller bosatt i land med amerikansk embargo
- Overholde alle gjeldende lover og forskrifter
- Følge ansvarlige varslingsrutiner
Rapportering
Del detaljer om eventuelle mistenkte sårbarheter med FlowHunt Security Team på support@flowhunt.io . Ikke offentliggjør disse detaljene utenfor denne prosessen uten eksplisitt tillatelse.
Kvalitetskrav til rapport
Din sårbarhetsrapport bør inneholde:
- Sammendrag: Kort beskrivelse av sårbarheten
- Påvirkning: Potensiell sikkerhetspåvirkning og forretningsrisiko
- Steg for gjentakelse: Detaljerte, trinnvise instruksjoner
- Proof of Concept: Bevis som demonstrerer sårbarheten
- Berørte ressurser: Spesifikke URL-er, parametere eller komponenter
- Alvorlighetsvurdering: Din vurdering av alvorlighetsgraden
- Forslag til utbedring: Anbefalte tiltak (valgfritt)
Dersom du ønsker å sende inn flere rapporter samtidig, vennligst send kun én rapport (den viktigste hvis mulig) og vent på svar.
Svartid
- Bekreftelse: Innen 5 virkedager etter mottatt rapport
- Første vurdering: Innen 10 virkedager
- Løsningsmål: Innen 90 dager for gyldige sårbarheter
- Oppdateringer: Jevnlige statusoppdateringer gjennom prosessen
Belønning
Vi er glade for å tilby en belønning for informasjon om sårbarheter som hjelper oss å beskytte våre kunder, som en takk til sikkerhetsforskere som velger å delta i vårt bug bounty-program.
Alvorlighetsklassifisering
Kritisk alvorlighet ($100):
- Fjernkjøring av kode
- SQL-injeksjon som gir tilgang til data
- Autentiseringsomgåelse som påvirker flere brukere
- Rettighetseskalering til admin-nivå
- Full konto-overtakelse
Middels alvorlighet ($50):
- Cross-site scripting (XSS) med betydelig innvirkning
- Tilgangskontroll-omgåelse som påvirker begrensede data
- Katalogtraversering med filtilgang
- Sårbarheter i øktbehandling
- Brutt autentisering som påvirker enkeltbrukere
Lav alvorlighet (Ikke kvalifisert for utbetaling):
- Mindre informasjonslekkasje
- Self-XSS uten reell angrepsvektor
- Begrensningsproblemer på antall forespørsler
- Manglende sikkerhetsoverskrifter uten utnyttbar effekt
Utbetalingsvilkår
- Belønning utbetales utelukkende via PayPal
- Bug bounty-jegere må lage og sende PayPal-faktura
- Ingen andre betalingsmetoder er tilgjengelige
- Utbetaling skjer innen 30 dager etter mottatt faktura
- Alle utbetalinger er underlagt gjeldende skatteregler
Kun den første som rapporterer en sårbarhet vil bli belønnet. Eventuelle duplikatrapporter vil ikke bli belønnet.
Omfang
Innenfor omfang
Du kan kun teste mot en FlowHunt-konto der du er kontoeier eller en agent autorisert av kontoeier til å utføre slik testing. For eksempel: dittdomene.flowhunt.io
Kvalifiserte ressurser:
- *.flowhunt.io domener og subdomener
- FlowHunt webapplikasjoner og API-er
- FlowHunt mobilapplikasjoner (hvis aktuelt)
Kvalifiserte sårbarhetstyper:
- Fjernkommandoutførelse (RCE)
- SQL-injeksjon
- Brutt autentisering
- Brutt øktbehandling
- Tilgangskontroll-omgåelse
- Cross-Site Scripting (XSS)
- Åpen URL-viderekobling
- Katalogtraversering
- Server Side Request Forgery (SSRF)
- Forretningslogikkfeil
Utenfor omfang
Forbudte aktiviteter:
- Sosiale ingeniørangrep (phishing, vishing, osv.)
- Fysiske angrep eller fysisk tilgang til FlowHunt-lokaler
- Tjenestenektangrep (DoS) eller distribuerte tjenestenektangrep (DDoS)
- Spam, masseutsendelser eller automatiserte verktøy mot våre systemer
- Nettverksangrep eller infrastruktur-skanning
- Angrep som krever fysisk tilgang til brukerens enheter
- Brute force-angrep eller passordknekking
- Testing på kontoer du ikke eier eller ikke har eksplisitt tillatelse til å teste
Ikke-kvalifiserte funn:
- Rapporter der en angriper kun kan true sin egen konto
- XSS forårsaket av admin eller privilegert bruker
- Sårbarheter som krever usannsynlig brukerinteraksjon
- Problemer som krever at brukeren installerer ondsinnet programvare
- Teoretiske sårbarheter uten klar utnyttelsesvei
- Innholdsfalskneri uten sikkerhetspåvirkning
- Manglende begrensning av antall forespørsler uten påviselig effekt
- Problemer som kun påvirker utdaterte nettlesere eller plattformer
Programregler
Testretningslinjer
- Test kun på kontoer du eier eller har eksplisitt tillatelse til å teste
- Ikke få tilgang til, endre eller slette data som tilhører andre brukere
- Ikke forstyrr tjenestene våre eller forring ytelsen
- Begrens automatisert testing for å unngå driftsforstyrrelser
- Ikke offentliggjør sårbarheter før de er rettet
- Gjør en god innsats for å unngå brudd på personvern og ødeleggelse av data
Safe Harbor & Juridisk beskyttelse
FlowHunt forplikter seg til å:
- Ikke iverksette rettslige skritt mot forskere som følger denne policyen
- Samarbeide med forskere for å forstå og validere sikkerhetsproblemer
- Anerkjenne gyldige bidrag til vår sikkerhet
- Holde konfidensialitet og ikke dele forskerens identitet uten tillatelse
Forskere må:
- Følge alle gjeldende lover og regler
- Kun få tilgang til data som er nødvendig for å demonstrere sårbarheten
- Rapportere sårbarheter raskt og i god tro
- Ikke utnytte sårbarheter utover det som er nødvendig for demonstrasjon
Varslingstidslinje
- Umiddelbart: Rapport sendes til support@flowhunt.io
- 90 dager: Standard tidslinje for offentliggjøring etter første rapport
- Koordinert: Offentliggjøring kun etter gjensidig avtale
- Nødstilfelle: Kritiske sårbarheter kan ha fremskyndet tidslinje
Forskere kan offentliggjøre sårbarheter 90 dager etter første rapport, eller etter at FlowHunt har bekreftet at problemet er løst, avhengig av hva som kommer først. Vi oppfordrer til koordinert offentliggjøring og vil samarbeide med forskere om riktig tidspunkt.
Vanlige spørsmål
- Hva er FlowHunt Bug Bounty-programmet?
Bug Bounty-programmet inviterer sikkerhetsforskere til å finne og rapportere sårbarheter i FlowHunts programvare, og bli belønnet for kvalifiserte og verifiserte innsendelser.
- Hvor mye er bounty-belønningen?
Før vi behandler dine bekymringer, vennligst merk vår bug bounty-policy: Kritiske gyldige feil: $100, Middels gyldige feil: $50, Lav alvorlighet: Ikke kvalifisert for utbetaling.
- Hvordan rapporterer jeg en sårbarhet?
Del detaljer om eventuelle mistenkte sårbarheter med FlowHunt Security Team på support@flowhunt.io, og inkluder så mye informasjon som mulig.
- Får jeg belønning for dupliserte rapporter?
Nei, kun den første som rapporterer en sårbarhet vil bli belønnet. Dupliserte rapporter vil ikke motta bounty.
- Er ansvarlig varsling påkrevd?
Ja, sårbarheter skal rapporteres privat og ikke offentliggjøres før de er rettet, i samsvar med retningslinjene for ansvarlig varsling.
Rapporter sårbarheter og tjen belønning
Hjelp oss å holde FlowHunt sikkert ved å delta i vårt Bug Bounty-program. Rapporter sårbarheter og motta kompensasjon for ansvarlig varsling.