Bounty Program

Если вы обнаружили уязвимость безопасности в ZAFUL, мы рекомендуем вам немедленно сообщить нам об этом. Мы рассмотрим все законные отчеты об уязвимостях и сделаем все возможное, чтобы быстро решить проблему. Прежде чем сообщать, просмотрите этот документ, включая основной принцип, программу вознаграждений, рекомендации по вознаграждениям и то, что не следует сообщать.

Основной Принцип

Если вы сообщаете ZAFUL о приведенных ниже принципах, сообщая о проблеме безопасности, мы не будем инициировать судебный процесс или расследование в отношении правоохранительных органов в отношении вас в ответ на ваше сообщение. Мы просим, чтобы:

1.Вы предоставляете нам разумное время для рассмотрения и устранения проблемы, о которой вы сообщаете, прежде чем публиковать какую-либо информацию об этом отчете или делиться такой информацией с другими.

2.Вы не взаимодействуете с отдельной учетной записью (которая включает изменение или доступ к данным из учетной записи), если владелец учетной записи не согласился на такие действия.

3.Вы предпринимаете добросовестные усилия, чтобы избежать нарушений конфиденциальности и сбоев для других, включая (но не ограничиваясь) уничтожение данных и прерывание или ухудшение наших услуг.

4.Вы не пользуетесь обнаруженной проблемой безопасности по любой причине. (Это включает демонстрацию дополнительного риска, такого как попытка компрометации конфиденциальных данных компании или поиск дополнительных проблем.)

5.Вы не нарушаете какие-либо другие применимые законы или правила.

Программа Вознаграждений

1.Придерживайтесь нашего Основного Принципа (см. выше).

2.Сообщить об ошибке безопасности: то есть выявить уязвимость в наших службах или инфраструктуре, которая создает угрозу безопасности или конфиденциальности. (Обратите внимание, что ZAFUL в конечном итоге определяет риск возникновения проблемы, и что многие ошибки не являются проблемами безопасности.)

3.Отправить свой отчет через наш адрес электронной почты “security@zaful.com” и ответьте на отчет с любыми обновлениями. Пожалуйста, не связывайтесь с сотрудниками напрямую или через другие каналы по поводу отчета.

4.Если вы случайно вызвали нарушение или нарушение конфиденциальности (например, доступ к данным учетной записи, конфигурации служб или другой конфиденциальной информации) во время исследования проблемы, обязательно сообщите об этом в своем отчете..

5.Мы расследуем и отвечаем на все действительные отчеты. Тем не менее, из-за большого количества отчетов, которые мы получаем, мы отдаем приоритет оценкам, основанным на риске и других факторах, и это требуется 5 дней,чтобы получить ответ.

6.Мы оставляем за собой право публиковать отчеты.

Награды

Наши награды основаны на воздействии уязвимости. Мы будем обновлять программу с течением времени, основываясь на отзывах, поэтому, пожалуйста, оставьте нам отзывы о любой части программы, которую вы можете улучшить.

1.Пожалуйста, предоставьте подробные отчеты с воспроизводимыми шагами. Если отчет недостаточно подробен, чтобы воспроизвести проблему, проблема не будет иметь право на получение награды.

2.Когда появляются дубликаты, мы награждаем первый отчет, который мы можем полностью воспроизвести.

3.Многочисленные уязвимости, вызванные одной основной проблемой, будут награждены одной наградой.

4.Мы определяем вознаграждение за вознаграждение, основываясь на множестве факторов, включая (но не ограничиваясь ими) влияние, простоту использования и качество отчета. Мы особо отмечаем награды за вознаграждение, они перечислены ниже..

5.Указанные ниже суммы максимальные которые мы будем платить за уровень. Мы стремимся быть честными, все суммы вознаграждений на наше усмотрение.

Уязвимости критической серьезности (5000$): Уязвимости, которые вызывают повышение привилегий на платформе от непривилегированного до администратора, делают возможным удаленное выполнение кода, финансовую кражу и т.д. Примеры:

·Удаленное выполнение кода

·Удаленная среда/выполнение команд

·Вертикальный обход аутентификации

·SQL-инъекция, которая пропускает целевые данные

·Получение полного доступа к аккаунтам

Уязвимости высокой степени опасности (1000$): Уязвимости, влияющие на безопасность платформы, включая процессы, которые она поддерживает. Примеры:

·Боковой обход аутентификации

·Раскрытие важной информации внутри компании

·Вертикальный обход аутентификации

·Сохраненный XSS для другого пользователя

·Небезопасная обработка файлов cookie аутентификации

Medium severity Vulnerabilities (500$): Уязвимости, которые затрагивают нескольких пользователей и требуют незначительного взаимодействия с пользователем или вообще не требуют его срабатывания. Примеры:

·Недостатки общей логики и недостатки бизнес-процессов

·Раскрытие важной информации внутри компании

·Небезопасные прямые ссылки на объекты

Уязвимости низкой серьезности (100$): Проблемы, которые затрагивают отдельных пользователей и требуют взаимодействия или существенных предпосылок (MITM) для запуска. Примеры:

·Открыть редирект

·Отражающий XSS

·Низкая чувствительность Информационные утечки