Program Bug Bounty
Dołącz do programu Bug Bounty FlowHunt — zgłaszaj podatności odpowiedzialnie i otrzymuj wynagrodzenie za pomoc w zabezpieczeniu platformy.
FlowHunt dąży do tego, by jej usługa była bezpieczna dla wszystkich, a bezpieczeństwo danych ma najwyższy priorytet. Jeśli jesteś badaczem bezpieczeństwa i odkryłeś podatność w Serwisie, doceniamy, że zgłosisz ją prywatnie i dasz nam możliwość naprawy przed opublikowaniem szczegółów technicznych.
FlowHunt będzie współpracować z badaczami bezpieczeństwa, gdy podatności zostaną zgłoszone zgodnie z opisem tutaj. Zespół będzie weryfikować, odpowiadać i naprawiać podatności w ramach zobowiązania do bezpieczeństwa i prywatności. Nie podejmiemy działań prawnych ani nie zawiesimy czy nie zakończymy dostępu do Serwisu wobec tych, którzy odpowiedzialnie odkryją i zgłoszą podatności. FlowHunt zastrzega sobie wszystkie prawa prawne w przypadku jakiejkolwiek niezgodności.
Zgłaszanie
Prześlij szczegóły podejrzanych podatności do Zespołu Programistycznego FlowHunt na adres support@flowhunt.io . Prosimy, nie ujawniaj publicznie tych informacji poza tym procesem bez wyraźnej zgody. W zgłoszeniu podejrzanej podatności dołącz jak najwięcej informacji. Jeśli chcesz przesłać wiele zgłoszeń naraz, prześlij tylko jedno zgłoszenie (najważniejsze jeśli to możliwe) i poczekaj na odpowiedź.
Wynagrodzenie
Z przyjemnością oferujemy bounty za informacje o podatnościach, które pomagają chronić naszych klientów, jako wyraz wdzięczności dla badaczy bezpieczeństwa uczestniczących w naszym programie bug bounty. Standardowa nagroda to 100 USD za każde zgłoszenie potwierdzone przez nasz zespół deweloperski.
Nagradzamy tylko pierwszego zgłaszającego podatność. Duplikaty zgłoszeń nie będą nagradzane.
Zakres
Możesz testować tylko konto FlowHunt, którego jesteś właścicielem, lub jako agent upoważniony przez właściciela konta do przeprowadzenia takich testów. Na przykład: yourdomain.flowhunt.io
Wynagradzamy następujące rodzaje podatności:
- Remote Command Execution (RCE)
- SQL Injection
- Uszkodzona autoryzacja
- Uszkodzone zarządzanie sesjami
- Obejście kontroli dostępu
- Cross-Site Scripting (XSS)
- Åpen URL-omdirigering (Open URL Redirection)
- Directory Traversal
Zgłoszenia, w których atakujący może zagrozić tylko własnemu kontu, nie będą nagradzane. XSS spowodowane przez administratora nie jest objęte nagrodą.
Najczęściej zadawane pytania
- Czym jest Program Bug Bounty FlowHunt?
Program Bug Bounty zaprasza badaczy bezpieczeństwa do znajdowania i zgłaszania podatności w oprogramowaniu FlowHunt oraz otrzymywania nagród za kwalifikowane i zweryfikowane zgłoszenia.
- Ile wynosi standardowa nagroda?
Standardowa nagroda wynosi 100 USD za każdą unikalną podatność zgłoszoną i zweryfikowaną przez zespół deweloperski.
- Jak zgłosić podatność?
Prześlij szczegóły wszelkich podejrzanych podatności do zespołu programistycznego FlowHunt na adres support@flowhunt.io, dołączając jak najwięcej informacji.
- Czy otrzymam nagrodę za duplikaty zgłoszeń?
Nie — nagrodzona będzie tylko pierwsza osoba, która zgłosi podatność. Duplikaty nie otrzymają bounty.
- Czy wymagana jest odpowiedzialna publikacja (responsible disclosure)?
Tak — podatności powinny być zgłaszane prywatnie i nie ujawniane publicznie, dopóki nie zostaną naprawione, zgodnie z polityką odpowiedzialnego ujawniania.
Zgłaszaj podatności i zarabiaj nagrody
Pomóż utrzymać FlowHunt bezpiecznym, uczestnicząc w naszym programie Bug Bounty. Zgłaszaj podatności i otrzymuj rekompensatę za odpowiedzialne zgłoszenia.