Czym jest Program Bug Bounty FlowHunt?

Program Bug Bounty zaprasza badaczy bezpieczeństwa do znajdowania i zgłaszania podatności w oprogramowaniu FlowHunt oraz otrzymywania nagród za kwalifikujące się i zweryfikowane zgłoszenia.

Ile wynosi nagroda bug bounty?

Przed rozpatrzeniem zgłoszenia zapoznaj się z naszą polityką bug bounty: Krytyczne prawidłowe błędy: 100 USD, Średnie prawidłowe błędy: 50 USD, Niska waga: Brak wypłaty.

Jak zgłosić podatność?

Podziel się szczegółami na temat podejrzewanych podatności z Zespołem Bezpieczeństwa FlowHunt pod adresem support@flowhunt.io, załączając jak najwięcej informacji.

Czy otrzymam nagrodę za powielone zgłoszenia?

Nie, tylko pierwszy zgłaszający podatność otrzyma nagrodę. Powielone zgłoszenia nie będą nagradzane.

Czy wymagane jest odpowiedzialne ujawnianie?

Tak, podatności należy zgłaszać prywatnie i nie ujawniać publicznie przed ich naprawieniem, zgodnie z polityką odpowiedzialnego ujawniania.

Program Bug Bounty

FlowHunt dąży do zapewnienia bezpieczeństwa swoim użytkownikom, a ochrona danych jest dla nas sprawą najwyższej wagi. Jeśli jesteś badaczem bezpieczeństwa i odkryłeś podatność w Serwisie, doceniamy Twoją pomoc w jej prywatnym ujawnieniu oraz danie nam szansy na naprawę przed opublikowaniem szczegółów technicznych.

FlowHunt będzie współpracować z badaczami bezpieczeństwa, gdy podatności zostaną zgłoszone zgodnie z poniższymi zasadami. Zgłoszenia zostaną przez nas zweryfikowane, otrzymasz odpowiedź i naprawimy podatności, zgodnie z naszym zaangażowaniem w bezpieczeństwo i prywatność. Nie podejmiemy kroków prawnych, nie zawiesimy ani nie zakończymy dostępu do Serwisu wobec osób, które w sposób odpowiedzialny wykrywają i zgłaszają podatności. FlowHunt zastrzega sobie wszelkie prawa w przypadku nieprzestrzegania zasad.

Kto może wziąć udział

Aby móc wziąć udział w naszym programie bug bounty, musisz:

Mieć ukończone 18 lat
Nie być obecnym ani byłym pracownikiem, współpracownikiem ani członkiem najbliższej rodziny pracownika FlowHunt
Nie podlegać sankcjom USA ani nie mieszkać w kraju objętym embargiem USA
Przestrzegać wszystkich obowiązujących przepisów prawa
Stosować się do zasad odpowiedzialnego ujawniania

Zgłaszanie podatności

Wszelkie podejrzewane podatności zgłaszaj Zespołowi Bezpieczeństwa FlowHunt na adres support@flowhunt.io . Prosimy nie upubliczniać tych szczegółów poza tym procesem bez naszej wyraźnej zgody.

Wymagania dotyczące jakości zgłoszenia

Twoje zgłoszenie podatności powinno zawierać:

Podsumowanie: Krótki opis podatności
Wpływ: Potencjalny wpływ na bezpieczeństwo i ryzyko biznesowe
Kroki do odtworzenia: Szczegółowa, krok po kroku instrukcja
Dowód koncepcji: Materiał potwierdzający występowanie podatności
Dotknięte zasoby: Konkretne adresy URL, parametry lub komponenty
Ocena wagi: Twoja ocena poziomu zagrożenia
Sugestie naprawy: Zalecane poprawki (opcjonalnie)

Jeśli chcesz zgłosić kilka podatności jednocześnie, prześlij tylko jedno zgłoszenie (najważniejsze, jeśli to możliwe) i poczekaj na odpowiedź.

Terminy reakcji

Potwierdzenie otrzymania: W ciągu 5 dni roboczych od zgłoszenia
Wstępna ocena: W ciągu 10 dni roboczych
Docelowa naprawa: W ciągu 90 dni dla potwierdzonych podatności
Aktualizacje: Regularne informacje o statusie w trakcie procesu

Wynagrodzenie

Cieszymy się, że możemy zaoferować nagrodę za informacje o podatnościach, które pomagają nam chronić naszych użytkowników, jako podziękowanie dla badaczy bezpieczeństwa biorących udział w programie bug bounty.

Klasyfikacja wagi

Krytyczna waga (100 USD):

Zdalne wykonanie kodu
SQL injection z dostępem do danych
Ominięcie uwierzytelniania dotykające wielu użytkowników
Eskalacja uprawnień do poziomu administratora
Przejęcie całego konta

Średnia waga (50 USD):

Cross-site scripting (XSS) o znacznym wpływie
Ominięcie kontroli dostępu dotyczące ograniczonych danych
Przechodzenie po katalogach z dostępem do plików
Podatności w zarządzaniu sesją
Błędy uwierzytelniania dotyczące pojedynczych użytkowników

Niska waga (brak nagrody):

Drobne ujawnienie informacji
Self-XSS bez realnego wektora ataku
Problemy z ograniczeniami liczby żądań
Brak nagłówków bezpieczeństwa bez możliwości wykorzystania

Warunki wypłaty

Wypłaty realizowane wyłącznie przez PayPal
Łowca bugów musi wystawić i przesłać fakturę PayPal
Inne metody płatności nie są dostępne
Przetwarzanie płatności do 30 dni od otrzymania faktury
Wszystkie wypłaty podlegają obowiązującym przepisom podatkowym

Nagrodę otrzyma wyłącznie pierwszy zgłaszający daną podatność. Powielone zgłoszenia nie będą nagradzane.

Zakres

W zakresie

Dozwolone jest testowanie wyłącznie na koncie FlowHunt, którego jesteś Właścicielem lub Agentem upoważnionym przez Właściciela konta do przeprowadzenia takich testów. Przykład: twojadomena.flowhunt.io

Zgłoszenia obejmują:

Domeny i subdomeny *.flowhunt.io
Aplikacje internetowe i API FlowHunt
Aplikacje mobilne FlowHunt (jeśli dotyczy)

Dopuszczalne typy podatności:

Zdalne wykonywanie poleceń (RCE)
SQL Injection
Błędne uwierzytelnianie
Błędne zarządzanie sesją
Ominięcie kontroli dostępu
Cross-Site Scripting (XSS)
Otwarte przekierowania URL
Przechodzenie po katalogach
Server-Side Request Forgery (SSRF)
Błędy logiki biznesowej

Poza zakresem

Zabronione działania:

Ataki socjotechniczne (phishing, vishing itp.)
Ataki fizyczne lub dostęp fizyczny do obiektów FlowHunt
Ataki DoS lub DDoS (odmowa usługi)
Spam, masowa wysyłka lub automatyczne narzędzia przeciwko naszym systemom
Ataki na poziomie sieci lub skanowanie infrastruktury
Ataki wymagające fizycznego dostępu do urządzeń użytkownika
Ataki siłowe (brute force) lub łamanie haseł
Testowanie na kontach, które nie należą do Ciebie lub na których nie masz wyraźnego pozwolenia

Zgłoszenia niekwalifikujące się:

Zgłoszenia, gdy atakujący może zagrozić tylko własnemu kontu
XSS wywołany przez administratora lub użytkownika uprzywilejowanego
Podatności wymagające mało prawdopodobnej interakcji użytkownika
Błędy wymagające instalacji złośliwego oprogramowania przez użytkownika
Teoretyczne podatności bez jasnej drogi do wykorzystania
Podszywanie się pod treść bez wpływu na bezpieczeństwo
Brak ograniczeń liczby żądań bez wykazanej możliwości nadużycia
Problemy dotyczące wyłącznie przestarzałych przeglądarek lub platform

Zasady programu

Wytyczne dotyczące testów

Przeprowadzaj testy wyłącznie na własnych kontach lub kontach, na których masz wyraźne pozwolenie
Nie uzyskuj dostępu, nie modyfikuj ani nie usuwaj danych innych użytkowników
Nie zakłócaj działania naszych usług ani nie obniżaj ich wydajności
Ogranicz testy automatyczne, aby nie zakłócać działania serwisu
Nie ujawniaj publicznie podatności przed ich naprawieniem
Podejmij działania w dobrej wierze, by unikać naruszenia prywatności i zniszczenia danych

Gwarancja bezpieczeństwa prawnego

FlowHunt zobowiązuje się:

Nie podejmować kroków prawnych wobec badaczy przestrzegających tej polityki
Współpracować z badaczami w celu zrozumienia i weryfikacji problemów
Doceniać wartościowy wkład w bezpieczeństwo naszej platformy
Zachować poufność i nie ujawniać tożsamości badacza bez jego zgody

Badacze muszą:

Przestrzegać wszystkich obowiązujących przepisów prawa
Uzyskiwać dostęp tylko do danych niezbędnych do wykazania podatności
Zgłaszać podatności niezwłocznie i w dobrej wierze
Nie wykorzystywać podatności poza niezbędnym zakresem demonstracyjnym

Harmonogram ujawniania

Natychmiast: Zgłoszenie wysłane na support@flowhunt.io
90 dni: Standardowy czas na ujawnienie po pierwszym zgłoszeniu
Współpraca: Ujawnienie publiczne wyłącznie po wzajemnym uzgodnieniu
Awaryjnie: Krytyczne podatności mogą mieć przyspieszony harmonogram

Badacze mogą ujawnić podatności publicznie po 90 dniach od zgłoszenia lub po potwierdzeniu naprawy przez FlowHunt, w zależności od tego, co nastąpi wcześniej. Zachęcamy do współpracy w zakresie terminu ujawnienia i chętnie ustalimy go wspólnie.