Ich habe einen Bug oder Exploit gefunden.
Key-Drop Bug Bounty Programm
Key-Drop bietet ein Bug Bounty System an, bei dem registrierte und aktive Key-Drop Benutzer Bugs, Fehler und Exploits melden können und dafür belohnt werden. Unser Hauptziel ist es, uns ständig zu verbessern und unseren Nutzern die beste Erfahrung zu bieten, und Sie können uns dabei helfen, das zu erreichen! Wir bitten Sie, stets verantwortungsbewusst und im besten Interesse von Key-Drop und seinen Nutzern zu handeln.
Problemkategorien
| Relevanz | Beispiele | Maximale Auszahlung |
|---|---|---|
| Critical | RCE, SQLi, vertical auth bypass, unauthorized access to highly sensitive data | 5 000 USD |
| High | Stored XSS, lateral auth bypass, local file inclusion | 2 000 USD |
| Medium | Reflected XSS | 500 USD |
| Low | Information leaks, best practices | 100 USD |
Die Belohnung hängt davon ab, wie schwerwiegend das gemeldete Problem ist. Die obige Tabelle beschreibt verschiedene Problemkategorien und die entsprechenden Belohnungen.
Fehlerberichte ohne die oben beschriebenen Informationen werden nicht für eine Belohnung berücksichtigt. Wenn Sie den Bug nicht reproduzieren können, erhalten Sie keine Belohnung. Stellen Sie also sicher, dass Sie die Schritte so genau wie möglich beschreiben. Wenn ein Bug mehrfach gemeldet wird, kommt nur der erste Benutzer, der ihn gemeldet hat, für eine Belohnung in Frage.
Alle in dieser Richtlinie enthaltenen Bestimmungen sollten als integraler Bestandteil und als Erweiterung der aktuellen Nutzungsbedingungen und Datenschutzrichtlinie betrachtet werden. Keine Handlung, die im Rahmen dieser Richtlinie und zum Zweck des Erhalts einer Belohnung unternommen wird, darf im Widerspruch zu den allgemeinen Nutzungsbedingungen der Website oder geltendem Recht stehen. Gemeldete Bugs, die gegen die Nutzungsbedingungen der Website oder gegen geltendes Recht verstoßen, werden nicht belohnt.
Datenschutz
Bitte beachten Sie, dass alle Informationen über unsere Systeme, einschließlich Bugs, Fehler und Exploits, die nicht öffentlich zugänglich sind, streng vertraulich sind und eine Weitergabe verboten ist. Sie dürfen sie nicht weitergeben oder anderweitig für andere Zwecke verwenden als für die oben beschriebene Übermittlung des Fehlerberichts an uns. Sie dürfen niemals versuchen, nicht-technische Angriffe wie Social Engineering, Phishing oder physische Angriffe gegen unsere Website, Mitarbeiter, Benutzer oder Infrastruktur durchzuführen.
Regeln
Indem Sie einen Fehlerbericht einreichen, erklären Sie sich damit einverstanden, dass wir Ihre persönlichen Daten sowie alle in dem Bericht enthaltenen Informationen verwenden dürfen, um die Sicherheit, Integrität und den zuverlässigen Betrieb unserer Website zu gewährleisten. Gleichzeitig bestätigen Sie, dass Sie diese Richtlinie gelesen und ihr zugestimmt haben. Insbesondere bestätigen und versichern Sie, dass:
Ihr Fehlerbericht nicht gegen ein für Sie geltendes Gesetz verstößt oder Daten stört oder gefährdet, die nicht Ihre eigenen sind;
Sie allein für alle anfallenden Steuern, Quellensteuern oder sonstigen Abgaben verantwortlich sind, die sich aus Ihrer Teilnahme am Bug Bounty-System ergeben oder damit in Zusammenhang stehen, einschließlich der Zahlungen für das Bug Bounty,
Key-Drop behält sich das Recht vor, das Bug Bounty-System nach eigenem Ermessen zu beenden oder einzustellen;
Das Bug Bounty System betrifft nur die Schwachstellen auf den von Key-Drop betriebenen Websites. Websites, die auf Subdomains von key-drop.com gehostet werden, die von Dritten betrieben werden, sollten nicht getestet werden.
Das Einreichen eines Berichts ist einfach, aber es gibt ein paar Punkte, die ein Bericht erfüllen muss, um für eine Belohnung in Frage zu kommen. Jeder Fehlerbericht, der für eine Belohnung in Frage kommt, muss mindestens folgende Angaben enthalten:
Ihren Namen, Ihre Benutzer-ID und Ihre Kontaktinformationen;
eine detaillierte Beschreibung des Bugs/Exploits (kann in manchen Fällen kurz sein - die Länge spielt keine Rolle, solange sie vollständig und konkret ist);
Schritte zur Reproduktion des Bugs / Exploits;
Details zu Betriebssystemen, Software, Versionen, die relevant sind;
wie oft das Problem auftritt, wenn Sie versuchen, es zu reproduzieren (immer, so gut wie nie, 50/50, usw.);
wenn der Bug/Exploit nicht häufig auftritt und/oder die Bedingungen für sein Auftreten nur schwer zu reproduzieren sind, ist ein Beweis (Video/Screenshot) erforderlich.
Jede zusätzliche Information ist willkommen. Je mehr Informationen Sie uns übermitteln, desto einfacher ist es für uns, das beschriebene Szenario zu reproduzieren, die Ursache zu finden und den Bug zu beheben. Wir können Sie in jedem Fall um zusätzliche Informationen oder Beweise bitten.
Aktualisiert am: 21/10/2022