Našel jsem chybu nebo vykořisťování
Program Bounty pro chybu v Key-Drop
Key-Drop nabízí systém odměnovaní nalezených bugú, kde registrovaní a aktivní uživatelé Key-Dropu mohou nahlásit chyby a dostat odměnu. Hlavním cílem je vždy zlepšit a poskytnout nejlepší zážitek pro naše uživatele a můžete nám to pomoci! Žádáme, abyste vždy jednali zodpovědně a v nejlepším zájmu Key-Dropu a jeho uživatelů.
Problémové kategorie
| Relevance | Examples | Maximum Payout |
|---|---|---|
| Critical | RCE, SQLi, vertical auth bypass, unauthorized access to highly sensitive data | 5 000 USD |
| High | Stored XSS, lateral auth bypass, local file inclusion | 2 000 USD |
| Medium | Reflected XSS | 500 USD |
| Low | Information leaks, best practices | 100 USD |
Odměna závisí na tom, jak vážný je hlášený problém. Výše uvedená tabulka popisuje různé kategorie problémů a jejich odpovídající odměny.
Zprávy o chybách bez výše popsaných informací nebudou považovány za odměnu. Neschopnost reprodukce chyby vám neposkytne odměnu, takže nezapomeňte popsat kroky tak přesně, jak jen můžete. Pokud je chyba hlášena vícekrát, pouze první uživatel, který nahlásil, bude kvalifikovat pro odměnu.
Všechna ustanovení obsažená v této politice by měla být považována za nedílnou součást a za prodloužení proudu Všeobecné obchodní podmínky a Zásady ochrany osobních údajů. Žádná opatření přijata podle této politiky a za účelem získání odměny nesmí být v rozporu s obecným podmínkou používání webových stránek nebo platných zákonů. Bugy hlášené v rozporu s jakýmkoli podmínkám používání webové stránky nebo práva nebudou odměněny.
Soukromí
Uvědomte si, že všechny informace o našich systémech, včetně chyb a vykořisťování, které nejsou veřejně dostupné, jsou přísně důvěrné a jakékoli zveřejnění je zakázáno. Nesmíte jej sdílet ani jinak používat k jinému účelu, než je předložit zprávu o chybách, jak je popsáno výše. Nikdy se nesmíte pokoušet netechnické útoky, jako je sociální inženýrství, phishing nebo fyzické útoky proti našim webu, zaměstnancům, uživatelům nebo infrastruktuře.
Pravidla
Odesláním zprávy o chybách souhlasíte s tím, že můžeme používat vaše osobní údaje a všechny informace obsažené ve zprávě, abychom zajistili zabezpečení, integritu a spolehlivý provoz našeho webu. Současně berete na vědomí, že jste si přečetli a souhlasili s touto politikou. Zejména potvrzujete a ujistíte, že:
Vaše zpráva o chybách neporušuje žádný zákon, který by se na vás vztahoval, ani nenaruší nebo neohrožuje jakékoli údaje, které nejsou vaše vlastní;
Jste výhradně zodpovědní za jakékoli příslušné daně, zadržení nebo jinak, vyplývající z vaší účasti v systému odměňování chyb, a to i z jakýchkoli plateb od Bounty,
Key-Drop si vyhrazuje právo ukončit systém odměňování chyb podle svého výhradního uvážení;
Systém Bug Bounty se týká pouze zranitelnosti na webových stránkách provozovaných Key-Drop. Jakékoli weby hostované na subdoménách Key-drop.com, které jsou provozovány třetími stranami a neměly by být testovány.
Odeslání zprávy je jednoduché, ale existuje několik bodů, které musí mít zpráva, aby bylo možné zvážit odměnu. Každá zpráva o chybách, která má být považována k odměně, musí obsahovat alespoň:
Vaše jméno, ID uživatele a kontaktní údaje;
Podrobný popis chyby/vykořisťování (v některých případech může být stručný - na délce nezáleží, pokud je úplná a konkrétní);
kroky k reprodukci chyby / vykořisťování;
Podrobnosti o operačních systémech, softwaru, verzích, které jsou relevantní;
Jak často se to stane, když se to pokusíte reprodukovat (vždy, sotva se stane, 50/50 atd.);
Pokud se k bugu/vykořisťování nedochází často a/nebo je výrazně obtížné reprodukovat podmínky, které k ní dojde, je vyžadován důkaz (video/snímek obrazovky).
Jakékoli další informace jsou vítány. Čím více informací pošlete, tím snazší je pro nás reprodukovat popsaný scénář, najít kořenovou příčinu a opravit vše, co je špatné. V každém případě vás můžeme požádat o další informace nebo důkazy.
Aktualizováno dne: 12/10/2022