Empuls Bug Bounty Programm

Bei Empuls sind wir uns bewusst, dass der Schutz der Verbraucherdaten hohe Priorität hat und eine große Verantwortung darstellt, die eine ständige Überwachung erfordert. Wir schätzen all diejenigen in der Sicherheits-Community sehr, die uns dabei helfen, jederzeit eine 100%ige Sicherheit unserer Systeme zu gewährleisten.

Wir glauben, dass eine verantwortungsvolle Offenlegung von Sicherheitslücken dazu beiträgt, die größtmögliche Sicherheit und Privatsphäre unserer Nutzer zu gewährleisten. Wir laden Sicherheitsforscher dazu ein, jede Sicherheitslücke zu melden, die sie in unseren Produkten finden können. Diejenigen, die im Rahmen unseres Programms Fehler melden, werden für ihre Unterstützung und ihre Sicherheitserfahrung herzlich belohnt.

Wie es funktioniert

  1. Wenn Sie ein potenzielles Sicherheitsproblem bemerken, obwohl Sie alle in unserer Richtlinie geforderten Kriterien erfüllen, wenden Sie sich an empuls, um ein Ticket zu erstellen.
  2. Unser Sicherheitsteam wird den Schweregrad und die Authentizität des gemeldeten Problems innerhalb von 90 Tagen überprüfen.  
  3. Nach der Validierung wird unser Team Schritte unternehmen, um die Sicherheitsprobleme mit unseren Sicherheitsrichtlinien zu beheben.  
  4. Sobald das Problem behoben ist, wird unser Team den Besitzer des Tickets informieren.

Zuschussfähigkeit

Um für eine Prämie in Frage zu kommen, müssen Sie die folgenden Voraussetzungen erfüllen:

  1. Sie müssen die erste Person sein, die eine Sicherheitslücke an Empuls meldet.  
  2. Das Problem muss sich auf eine der Anwendungen auswirken, die in unserem definierten Anwendungsbereich aufgeführt sind.  
  3. Die Ausgabe muss unter die aufgelisteten "qualifizierten" Fehler fallen.  
  4. Die Veröffentlichung von Informationen über Schwachstellen in der Öffentlichkeit ist nicht gestattet.  
  5. Alle Informationen über die Sicherheitslücke müssen vertraulich behandelt werden, bis das Problem behoben ist.  
  6. Bei der Durchführung von Sicherheitstests dürfen keine von Empuls festgelegten Datenschutzrichtlinien verletzt werden.
  7. Die Änderung oder Löschung nicht authentifizierter Benutzerdaten, die Unterbrechung von Produktionsservern oder jede Form der Beeinträchtigung der Benutzererfahrung ist absolut verboten.  

Ein Verstoß gegen eine dieser Regeln kann zur Untauglichkeit oder zum Ausschluss aus dem Empuls Bug Bounty Programm führen.

Leitlinien

  1. Verwenden Sie nur den identifizierten Kanal empuls, um eine Sicherheitslücke zu melden.
  2. Achten Sie bei der Meldung darauf, dass die Beschreibung und die möglichen Auswirkungen der Schwachstelle erwähnt werden.
  3. Es müssen auch detaillierte Anweisungen zu den Schritten enthalten sein, die zur Reproduktion der Schwachstelle zu befolgen sind.
  4. Ein vollständiger Video-POC sollte beigefügt werden, der alle Schritte und Informationen enthält.
  5. Einzelheiten zum Umfang und zu den Qualifikationskriterien sind nachstehend aufgeführt.

Umfang

  1. Plattform: https:xoxoday
  2. Out-of-Scope Websites: Staging-Subdomains, jede andere Subdomain, die nicht mit empuls.io verbunden ist

Qualifizierte Schwachstellen

Jedes Design- oder Implementierungsproblem, das die Vertraulichkeit oder Integrität von Benutzerdaten wesentlich beeinträchtigt, fällt wahrscheinlich in den Anwendungsbereich des Programms. Übliche Beispiele sind:

  • Cross-Site-Scripting (XSS)
  • Cross-Site Request Forgery (CSRF)
  • Server-seitige Anforderungsfälschung (SSRF)
  • SQL-Einschleusung
  • Server-seitige Remote Code Execution (RCE)
  • XML External Entity Angriffe (XXE)
  • Probleme mit der Zugangskontrolle (unsichere direkte Objektreferenzen, Eskalation von Privilegien usw.)
  • Offene Verwaltungsbereiche, für die keine Anmeldedaten erforderlich sind
  • Probleme bei der Verzeichnisüberquerung
  • Lokale Dateifreigabe (LFD) und entfernte Dateieinbindung (RFI)
  • Manipulationen von Zahlungen
  • Fehler bei der serverseitigen Codeausführung
  • API-Ratenbegrenzung und Drosselung
    - Umgehung von API-Ratenbegrenzungen.
    - Wettlaufbedingungen und Gleichzeitigkeitsprobleme in API-Endpunkten.

Nicht-qualifizierende Schwachstellen

  • Offene Weiterleitungen: 99 % der offenen Weiterleitungen haben nur geringe Sicherheitsauswirkungen. In den seltenen Fällen, in denen die Auswirkungen größer sind, z. B. beim Diebstahl von Oauth-Tokens, möchten wir dennoch davon erfahren
  • Berichte, in denen festgestellt wird, dass Software veraltet/anfällig ist, ohne dass ein "Proof of Concept" vorliegt
  • Host-Header-Probleme ohne einen begleitenden POC, der die Schwachstelle nachweist
  • XSS-Probleme, die nur veraltete Browser betreffen
  • Stack Traces, die Informationen offenlegen
  • Clickjacking und Probleme, die nur durch Clickjacking ausgenutzt werden können
  • CSV-Injektion. Bitte lesen Sie diesen Artikel: CSV-Formel-Injektion | Google
  • Bedenken hinsichtlich bewährter Praktiken
  • Höchst spekulative Berichte über theoretische Schäden. Konkret sein
  • Selbst-XSS, das nicht verwendet werden kann, um andere Benutzer auszunutzen
  • Schwachstellen, wie sie von automatischen Tools gemeldet werden, ohne zusätzliche Analyse, inwiefern sie ein Problem darstellen
  • Berichte von automatischen Web-Schwachstellen-Scannern (Acunetix, Burp Suite, Vega usw.), die nicht validiert wurden
  • Denial-of-Service-Angriffe
  • Brute-Force-Angriffe
  • Reflektierter Dateidownload (RFD)
  • Physische oder Social-Engineering-Versuche (dazu gehören auch Phishing-Angriffe auf Empuls )
  • Probleme bei der Einspeisung von Inhalten
  • Cross-Site Request Forgery (CSRF) mit minimalen Sicherheitsauswirkungen (Logout CSRF, etc.)
  • Fehlende Attribute zum automatischen Vervollständigen
  • Fehlende Cookie-Flags bei nicht sicherheitsrelevanten Cookies
  • Probleme, die einen physischen Zugang zum Computer des Opfers erfordern
  • Fehlende Sicherheits-Header, die keine unmittelbare Sicherheitslücke darstellen.
  • Betrugsprobleme
  • Empfehlungen zur Verbesserung der Sicherheit
  • SSL/TLS-Scanberichte (d. h. Ausgaben von Websites wie SSL Labs)
  • Probleme mit dem Banner-Grabbing (herausfinden, welchen Webserver wir verwenden, usw.)
  • Offene Ports ohne einen begleitenden POC, der die Verwundbarkeit nachweist
  • Kürzlich bekannt gewordene Sicherheitslücken. Wir brauchen wie alle anderen auch Zeit, um unsere Systeme zu patchen. Bitte geben Sie uns zwei Wochen Zeit, bevor Sie diese Art von Problemen melden.

Belohnung

Bug Bounty-Belohnungen werden in Form von beliebten Geschenkkarten ausgezahlt. Der Wert des Geschenkgutscheins hängt von der Schwere und Qualität des Fehlers ab (siehe unten):

Schwere des Fehlers
Belohnungswert
Hoch
$250
Mittel
$150
Niedrig
$100

Hinweis

Die endgültige Entscheidung über die Eignung und Belohnung von Wanzen wird von Empuls getroffen. Das Programm liegt im Ermessen der Firma und kann jederzeit abgebrochen werden.