Bug Bounty-program
Gå med i FlowHunt Bug Bounty-programmet, rapportera säkerhetssårbarheter ansvarsfullt och få belöningar för att du hjälper till att hålla plattformen säker.
FlowHunt strävar efter att hålla sin tjänst säker för alla, och datasäkerhet är av högsta vikt. Om du är en säkerhetsforskare och har upptäckt en säkerhetssårbarhet i tjänsten uppskattar vi om du rapporterar den till oss privat och ger oss möjlighet att åtgärda den innan tekniska detaljer offentliggörs.
FlowHunt kommer att samarbeta med säkerhetsforskare när sårbarheter rapporteras enligt denna beskrivning. Vi kommer att validera, svara på och åtgärda sårbarheter för att upprätthålla vårt engagemang för säkerhet och integritet. Vi kommer inte att vidta rättsliga åtgärder mot, stänga av eller avsluta åtkomsten till tjänsten för dem som upptäcker och rapporterar säkerhetssårbarheter ansvarsfullt. FlowHunt förbehåller sig samtliga juridiska rättigheter vid bristande efterlevnad.
Behörighet
För att delta i vårt bug bounty-program måste du:
- Vara minst 18 år gammal
- Inte vara nuvarande eller tidigare FlowHunt-anställd, konsult eller nära familjemedlem
- Inte vara föremål för amerikanska sanktioner eller bosatt i ett land med amerikansk embargo
- Följa alla tillämpliga lagar och regler
- Följa riktlinjer för ansvarsfull rapportering
Rapportering
Dela detaljer om misstänkta sårbarheter med FlowHunts säkerhetsteam på support@flowhunt.io . Vänligen offentliggör inte dessa detaljer utanför denna process utan uttryckligt tillstånd.
Krav på rapportkvalitet
Din sårbarhetsrapport bör innehålla:
- Sammanfattning: Kort beskrivning av sårbarheten
- Påverkan: Potentiell säkerhetspåverkan och affärsrisk
- Återskapningssteg: Detaljerad steg-för-steg-instruktion
- Proof of Concept: Bevis som visar på sårbarheten
- Påverkade tillgångar: Specifika URL:er, parametrar eller komponenter
- Allvarlighetsbedömning: Din bedömning av allvarlighetsgraden
- Förslag till åtgärd: Rekommenderade lösningar (valfritt)
Om du vill skicka in flera rapporter samtidigt, skicka endast in en rapport (helst den viktigaste) och invänta svar.
Svarstider
- Bekräftelse: Inom 5 arbetsdagar efter insänd rapport
- Inledande bedömning: Inom 10 arbetsdagar
- Målsättning för lösning: Inom 90 dagar för giltiga sårbarheter
- Uppdateringar: Regelbundna statusuppdateringar under processen
Ersättning
Vi är glada att kunna erbjuda en belöning för sårbarhetsinformation som hjälper oss att skydda våra kunder, som tack till de säkerhetsforskare som väljer att delta i vårt bug bounty-program.
Allvarlighetsklassning
Kritisk allvarlighetsgrad ($100):
- Fjärrkörning av kod
- SQL-injektion som ger åtkomst till data
- Förbigående av autentisering som påverkar flera användare
- Privilegieförhöjning till administratörsnivå
- Fullständig kapning av konto
Medel allvarlighetsgrad ($50):
- Cross-site scripting (XSS) med betydande påverkan
- Åtkomstkontrollsförbigående som påverkar begränsad data
- Katalogtraversering med filåtkomst
- Sårbarheter i sessionshantering
- Bristande autentisering som påverkar enskilda användare
Låg allvarlighetsgrad (Ingen ersättning):
- Mindre informationsläckage
- Själv-XSS utan realistisk attackvektor
- Problem med begränsning av förfrågningar
- Saknade säkerhetsrubriker utan utnyttjningsbar påverkan
Betalningsvillkor
- Belöningar betalas uteslutande via PayPal
- Bug bounty-jägare måste skapa och skicka en PayPal-faktura
- Inga andra betalningsmetoder är tillgängliga
- Betalning sker inom 30 dagar efter mottagen faktura
- Alla betalningar omfattas av tillämpliga skatteregler
Vi belönar endast den första rapportören av en sårbarhet. Dubbla rapporter kommer inte att belönas.
Omfattning
Inom omfattning
Du får endast testa mot ett FlowHunt-konto där du är kontoinnehavare eller Agent med fullmakt från kontoinnehavaren att utföra sådan testning. Till exempel: dindomän.flowhunt.io
Behöriga tillgångar:
- *.flowhunt.io domäner och subdomäner
- FlowHunt webbapplikationer och API:er
- FlowHunt mobilapplikationer (om tillämpligt)
Behöriga sårbarhetstyper:
- Fjärrkommandoexekvering (RCE)
- SQL-injektion
- Bristande autentisering
- Bristande sessionshantering
- Åtkomstkontrollsförbigående
- Cross-Site Scripting (XSS)
- Öppen URL-omdirigering
- Katalogtraversering
- Server-Side Request Forgery (SSRF)
- Affärslogikfel
Utanför omfattning
Förbjudna aktiviteter:
- Social engineering-attacker (phishing, vishing, etc.)
- Fysiska attacker eller fysisk åtkomst till FlowHunt-anläggningar
- Denial of Service (DoS) eller Distributed Denial of Service (DDoS)-attacker
- Spam, masskommunikation eller automatiserade verktyg mot våra system
- Nätverksattacker eller infrastrukturskanning
- Attacker som kräver fysisk åtkomst till användares enheter
- Brute force-attacker eller lösenordsknäckning
- Testning på konton du inte äger eller har uttryckligt tillstånd att testa
Ej behöriga fynd:
- Rapporter där en angripare endast kan hota sitt eget konto
- XSS orsakad av administratör eller privilegierad användare
- Sårbarheter som kräver osannolik användarinteraktion
- Problem där användaren behöver installera skadlig programvara
- Teoretiska sårbarheter utan tydlig exploateringsväg
- Innehållsförfalskning utan säkerhetspåverkan
- Saknad begränsning av förfrågningar utan påvisbar påverkan
- Problem som endast påverkar föråldrade webbläsare eller plattformar
Programregler
Riktlinjer för testning
- Testa endast på konton du äger eller har uttryckligt tillstånd att testa
- Få inte åtkomst till, modifiera eller radera data som tillhör andra användare
- Stör inte våra tjänster eller försämra prestandan
- Begränsa automatiserad testning för att förhindra störningar i tjänsten
- Offentliggör inte sårbarheter innan de är åtgärdade
- Gör ditt yttersta för att undvika integritetsbrott och förstörelse av data
Safe Harbor & Juridiskt skydd
FlowHunt åtar sig att:
- Inte vidta rättsliga åtgärder mot forskare som följer denna policy
- Samarbeta med forskare för att förstå och validera säkerhetsproblem
- Erkänna giltiga insatser för vår säkerhet
- Upprätthålla sekretess och inte dela forskarens identitet utan tillstånd
Forskare måste:
- Följa alla tillämpliga lagar och regler
- Endast få åtkomst till data som är nödvändiga för att visa sårbarheten
- Rapportera sårbarheter omgående och i god tro
- Inte utnyttja sårbarheter mer än vad som krävs för demonstration
Tidslinje för rapportering
- Omedelbart: Rapport skickas till support@flowhunt.io
- 90 dagar: Standardtidslinje för offentliggörande efter första rapport
- Samordnat: Offentliggörande sker endast efter ömsesidig överenskommelse
- Nödfall: Kritiska sårbarheter kan ha förkortade tidslinjer
Forskare får offentliggöra sårbarheter 90 dagar efter första rapport, eller efter att FlowHunt bekräftat att problemet är löst, beroende på vad som inträffar först. Vi uppmuntrar samordnad rapportering och samarbetar gärna kring lämplig tidpunkt.
Vanliga frågor
- Vad är FlowHunt Bug Bounty-programmet?
Bug Bounty-programmet bjuder in säkerhetsforskare att hitta och rapportera sårbarheter i FlowHunts mjukvara och bli belönade för godkända och verifierade insändningar.
- Hur mycket är bug bounty-belöningen?
Innan vi besvarar dina frågor vill vi informera om vår bug bounty-policy: Kritiska giltiga buggar: $100, Medelgiltiga buggar: $50, Låg allvarlighetsgrad: Ingen utbetalning.
- Hur rapporterar jag en sårbarhet?
Dela detaljer om misstänkta sårbarheter med FlowHunts säkerhetsteam på support@flowhunt.io och inkludera så mycket information som möjligt.
- Får jag belöning för dubbla rapporter?
Nej, endast den första rapportören av en sårbarhet får belöning. Dubbla rapporter får ingen bug bounty.
- Krävs ansvarsfull rapportering?
Ja, sårbarheter ska rapporteras privat och inte offentliggöras innan de är åtgärdade, i enlighet med policyn för ansvarsfull rapportering.
Rapportera sårbarheter och tjäna belöningar
Hjälp till att hålla FlowHunt säkert genom att delta i vårt Bug Bounty-program. Rapportera sårbarheter och få ersättning för din ansvarsfulla rapportering.