Hata Ödül Programı

FlowHunt hizmetini herkes için güvenli tutmayı amaçlar ve veri güvenliği en yüksek önceliğimizdir. Eğer bir güvenlik araştırmacısıysanız ve Hizmet’te bir güvenlik açığı bulduysanız, bunu bize gizli olarak bildirip teknik detayları yayınlamadan önce düzeltme fırsatı verdiğiniz için size müteşekkiriz.

FlowHunt, burada açıklandığı şekilde bildirilen açıklar olduğunda güvenlik araştırmacılarıyla iş birliği yapacaktır. Güvenlik ve gizlilik taahhüdümüz doğrultusunda açıkları doğrular, yanıtlar ve düzeltiriz. Sorumlu bir şekilde güvenlik açığı bulan ve bildirenlerin Hizmete erişimini askıya almaz, sonlandırmaz veya yasal işlem başlatmayız. FlowHunt, uyumsuzluk durumunda tüm yasal haklarını saklı tutar.

Uygunluk

Hata ödül programımıza katılabilmek için:

• En az 18 yaşında olmalısınız
• Mevcut veya eski bir FlowHunt çalışanı, yüklenicisi veya birinci derece aile üyesi olmamalısınız
• ABD yaptırımlarına tabi olmamalı ya da ABD ambargolu bir ülkede yaşamıyor olmalısınız
• Tüm geçerli yasa ve yönetmeliklere uymalısınız
• Sorumlu açıklama uygulamalarını takip etmelisiniz

Bildirim

Herhangi bir şüpheli güvenlik açığının detaylarını support@flowhunt.io adresinden FlowHunt Güvenlik Ekibi’ne iletin. Lütfen açık izni olmadan bu süreç dışında detayları kamuya açıklamayın.

Bildirim Kalite Gereksinimleri

Açık bildirimleriniz şunları içermelidir:

• Özet: Açığın kısa tanımı
• Etkisi: Potansiyel güvenlik etkisi ve iş riski
• Tekrarlanma Adımları: Detaylı, adım adım talimatlar
• Kanıt: Açığı gösteren ispat veya örnek
• Etkilenen Varlıklar: Spesifik URL’ler, parametreler veya bileşenler
• Ciddiyet Değerlendirmesi: Kendi şiddet değerlendirme seviyeniz
• Çözüm Önerileri: (İsteğe bağlı) Önerilen düzeltmeler

Birden fazla bildirim göndermek istiyorsanız, lütfen yalnızca bir (mümkünse en önemli) bildirimi iletin ve yanıt bekleyin.

Yanıt Zaman Çizelgesi

• Onaylama: Bildirimden sonraki 5 iş günü içinde
• İlk Değerlendirme: 10 iş günü içinde
• Çözüm Hedefi: Geçerli açıklar için 90 gün içinde
• Güncellemeler: Süreç boyunca düzenli durum güncellemeleri

Ödüllendirme

Müşterilerimizi korumamıza yardımcı olan açık bildirimleri için, hata ödül programımıza katılan güvenlik araştırmacılarına teşekkür amacıyla ödül sunuyoruz.

Ciddiyet Sınıflandırması

Kritik Seviye ($100):

• Uzaktan kod çalıştırma
• Veri erişimine neden olan SQL enjeksiyonu
• Birden fazla kullanıcıyı etkileyen kimlik doğrulama atlatma
• Yönetici seviyesine ayrıcalık yükseltme
• Tam hesap ele geçirme

Orta Seviye ($50):

• Önemli etkiye sahip XSS (Cross-site scripting)
• Sınırlı veri etkileyen erişim kontrolü atlatma
• Dosya erişimine imkan tanıyan dizin geçişi
• Oturum yönetimi açıkları
• Tek kullanıcıyı etkileyen kimlik doğrulama sorunları

Düşük Seviye (Ödeme için uygun değil):

• Küçük bilgi sızdırma
• Gerçekçi saldırı yolu olmayan kendi kendine XSS
• Oran sınırlama sorunları
• Sömürülebilir etkisi olmayan eksik güvenlik başlıkları

Ödeme Şartları

• Ödüller yalnızca PayPal üzerinden ödenir
• Hata ödül avcıları PayPal faturası oluşturup göndermelidir
• Başka bir ödeme yöntemi yoktur
• Fatura alımından itibaren 30 gün içinde ödeme yapılır
• Tüm ödemeler yürürlükteki vergi mevzuatına tabidir

Yalnızca bir açığı ilk bildiren kişiye ödül verilecektir. Mükerrer bildirimler ödüllendirilmez.

Kapsam

Kapsama Dahil

Yalnızca Hesap Sahibi olduğunuz veya Hesap Sahibi tarafından bu tür testleri yürütmeye yetkili bir Temsilci olduğunuz FlowHunt hesabı üzerinde test yapabilirsiniz. Örneğin: alanadiniz.flowhunt.io

Uygun Varlıklar:

• *.flowhunt.io alanları ve alt alan adları
• FlowHunt web uygulamaları ve API’leri
• FlowHunt mobil uygulamaları (varsa)

Uygun Açık Türleri:

• Uzaktan Komut Çalıştırma (RCE)
• SQL Enjeksiyonu
• Kimlik Doğrulama Açıkları
• Oturum Yönetimi Açıkları
• Erişim Kontrolü Atlatma
• Cross-Site Scripting (XSS)
• Açık URL Yönlendirmesi
• Dizin Geçişi
• Sunucu Tarafı İstek Sahteciliği (SSRF)
• İş Mantığı Hataları

Kapsam Dışı

Yasaklanan Faaliyetler:

• Sosyal mühendislik saldırıları (oltalama, sesli oltalama vb.)
• FlowHunt tesislerine fiziksel saldırılar veya fiziksel erişim
• Hizmet Reddi (DoS) veya Dağıtık Hizmet Reddi (DDoS) saldırıları
• Sistemlerimize karşı spam, toplu iletişim ya da otomatik araçlar kullanmak
• Ağ seviyesi saldırılar veya altyapı taraması
• Kullanıcı cihazlarına fiziksel erişim gerektiren saldırılar
• Brute force saldırıları veya şifre kırma
• Sahibi olmadığınız veya test izniniz olmayan hesaplarda test yapmak

Uygun Olmayan Bulgular:

• Saldırganın yalnızca kendi hesabını tehdit edebildiği raporlar
• Bir Yönetici veya ayrıcalıklı kullanıcı tarafından tetiklenen XSS
• Gerçekleşmesi olası olmayan kullanıcı etkileşimi gerektiren açıklar
• Kullanıcının zararlı yazılım yüklemesini gerektiren açıklar
• Açıkça sömürü yolu olmayan teorik açıklar
• Güvenlik etkisi olmayan içerik sahteciliği
• Gözle görülür etkisi olmayan eksik oran sınırlaması
• Yalnızca eski tarayıcıları veya platformları etkileyen sorunlar

Program Kuralları

Test Yönergeleri

• Yalnızca sahibi olduğunuz veya test izniniz olan hesaplarda test yapın
• Diğer kullanıcılara ait verileri erişmeyin, değiştirmeyin veya silmeyin
• Hizmetlerimizde kesinti yaratmayın veya performansı düşürmeyin
• Otomatik testleri hizmet kesintisini önleyecek şekilde sınırlayın
• Açıklar düzeltilmeden kamuya açıklamayın
• Gizlilik ihlali ve veri silinmesinden kaçınmak için iyi niyetle hareket edin

Güvenli Liman & Yasal Koruma

FlowHunt şu taahhütleri verir:

• Bu politikaya uyan araştırmacılara karşı yasal işlem yapmaz
• Güvenlik sorunlarını anlamak ve doğrulamak için araştırmacılarla birlikte çalışır
• Geçerli katkıları tanır ve takdir eder
• Araştırmacı kimliğini izinsiz paylaşmaz ve gizliliği korur

Araştırmacılar şunları yapmalıdır:

• Tüm geçerli yasa ve yönetmeliklere uymalıdır
• Açığı göstermek için yalnızca gerekli verilere erişmelidir
• Açıkları iyi niyetle ve zamanında bildirmelidir
• Açıkları gösterme dışında bunlardan yararlanmamalıdır

Açıklama Zaman Çizelgesi

• Hemen: Bildirim support@flowhunt.io adresine gönderilir
• 90 gün: İlk bildirimden sonra standart açıklama süresi
• Koordine: Ortak anlaşmayla halka açıklama
• Acil: Kritik açıklar için hızlandırılmış süreç olabilir

Araştırmacılar, açıklarını ilk bildirimden 90 gün sonra veya FlowHunt sorunun çözüldüğünü onayladıktan sonra (hangisi önce gerçekleşirse) kamuya açıklayabilir. Koordine açıklamayı teşvik ediyoruz ve uygun zamanlama için araştırmacılarla birlikte çalışacağız.