Le calendrier 2025 de l'engagement des salariés est en ligne.

Télécharger maintenant

Empuls Programme de récompenses pour les bogues

À Empuls, nous comprenons que la protection des données des consommateurs est une priorité absolue et une responsabilité importante qui nécessite une surveillance constante. Nous apprécions profondément tous ceux qui, au sein de la communauté de la sécurité, nous aident à garantir à tout moment la sécurité à 100 % de nos systèmes.

Nous pensons que la divulgation responsable des failles de sécurité nous aide à préserver au maximum la sécurité et la vie privée de nos utilisateurs. Nous invitons les chercheurs en sécurité à signaler toute faille de sécurité qu'ils pourraient rencontrer dans nos produits. Ceux qui soumettent des bogues dans le cadre de notre programme seront chaleureusement récompensés pour leur soutien et leur expertise en matière de sécurité.

Comment cela fonctionne-t-il ?

  1. Si vous remarquez un problème de sécurité potentiel alors que vous répondez à tous les critères de notre politique, contactez-nous à support@empuls.io pour créer un ticket.
  2. Notre équipe de sécurité validera la gravité et l'authenticité du problème signalé dans les 90 jours.  
  3. Après validation, notre équipe prendra les mesures nécessaires pour résoudre les problèmes de sécurité à l'aide de nos politiques de sécurité.  
  4. Une fois le problème résolu, notre équipe informera le propriétaire du ticket.

Éligibilité

Pour pouvoir bénéficier d'une récompense, vous devez remplir les conditions suivantes :

  1. Vous devez être la première personne à signaler une vulnérabilité à Empuls.  
  2. Le problème doit avoir une incidence sur l'une des applications énumérées dans notre champ d'application.  
  3. Le problème doit relever des bogues "qualifiants" énumérés.  
  4. La publication d'informations sur les vulnérabilités dans le domaine public n'est pas autorisée.  
  5. Toute information relative au problème de vulnérabilité doit rester confidentielle jusqu'à ce que le problème soit résolu.  
  6. Aucune politique de confidentialité définie par Empuls ne doit être violée lors des tests de sécurité.
  7. La modification ou la suppression de données d'utilisateurs non authentifiés, la perturbation des serveurs de production ou toute forme de dégradation de l'expérience de l'utilisateur sont totalement interdites.  

La violation de l'une de ces règles peut entraîner l'inéligibilité ou la suppression du programme de primes de bogues Empuls .

Lignes directrices

  1. Utilisez uniquement le canal identifié support@empuls.io pour signaler toute vulnérabilité en matière de sécurité.
  2. Lors de l'établissement du ticket, veillez à ce que la description et l'impact potentiel de la vulnérabilité soient mentionnés.
  3. Des instructions détaillées sur les étapes à suivre pour reproduire la vulnérabilité doivent également être incluses.
  4. Il convient de joindre une vidéo complète du POC, montrant toutes les étapes et informations.
  5. Les détails concernant le champ d'application et les critères de qualification sont mentionnés ci-dessous.

Champ d'application

  1. Plate-forme : https://empulsaccounts.xoxoday.com
  2. Sites web hors du champ de l'enquête : sous-domaines de mise en scène, tout autre sous-domaine qui n'est pas connecté à empuls.io

Qualification des vulnérabilités

Tout problème de conception ou de mise en œuvre qui affecte substantiellement la confidentialité ou l'intégrité des données des utilisateurs est susceptible d'entrer dans le champ d'application du programme. Les exemples les plus courants sont les suivants :

  • Scripts intersites (XSS)
  • Falsification des requêtes intersites (CSRF)
  • Falsification des requêtes côté serveur (SSRF)
  • Injection SQL
  • Exécution de code à distance côté serveur (RCE)
  • Attaques par entités externes XML (XXE)
  • Problèmes de contrôle d'accès (problèmes de références directes d'objets non sécurisées, escalade des privilèges, etc.)
  • Panneaux administratifs exposés qui ne nécessitent pas d'identifiants de connexion
  • Problèmes de traversée de répertoire
  • Divulgation locale de fichiers (LFD) et inclusion de fichiers à distance (RFI)
  • Manipulation des paiements
  • Bogues d'exécution de code côté serveur
  • Limitation du débit de l'API et étranglement
    - Contournement des limites de débit de l'API.
    - Conditions de course et problèmes de concurrence dans les points de terminaison de l'API.

Vulnérabilités non admissibles

  • Redirections ouvertes : 99 % des redirections ouvertes ont un faible impact sur la sécurité. Dans les rares cas où l'impact est plus important, par exemple en cas de vol de jetons d'authentification, nous souhaitons tout de même en être informés.
  • Rapports indiquant qu'un logiciel est obsolète/vulnérable sans "preuve de concept".
  • Problèmes liés à l'en-tête de l'hôte sans que la vulnérabilité ne soit démontrée par un POC.
  • Problèmes XSS qui n'affectent que les navigateurs obsolètes
  • Traces de pile qui révèlent des informations
  • Le détournement de clics et les problèmes qui ne peuvent être exploités que par le détournement de clics
  • Injection CSV. Voir cet article : Injection de formule CSV | Google
  • Préoccupations en matière de bonnes pratiques
  • Rapports hautement spéculatifs sur des dommages théoriques. Soyez concrets
  • Self-XSS qui ne peut pas être utilisé pour exploiter d'autres utilisateurs
  • Vulnérabilités signalées par des outils automatisés sans analyse supplémentaire de la nature du problème.
  • Les rapports des scanners automatisés de vulnérabilité du web (Acunetix, Burp Suite, Vega, etc.) qui n'ont pas été validés.
  • Attaques par déni de service
  • Attaques par force brute
  • Téléchargement de fichiers réfléchis (RFD)
  • Tentatives d'ingénierie physique ou sociale (y compris les attaques par hameçonnage contre les employés de Empuls )
  • Problèmes d'injection de contenu
  • Falsification des requêtes intersites (CSRF) avec des implications minimales en matière de sécurité (Logout CSRF, etc.)
  • Attributs d'autocomplétion manquants
  • Drapeaux de cookies manquants pour les cookies non sensibles à la sécurité
  • Questions nécessitant un accès physique à l'ordinateur de la victime
  • En-têtes de sécurité manquants qui ne présentent pas de faille de sécurité immédiate.
  • Questions relatives à la fraude
  • Recommandations sur le renforcement de la sécurité
  • les rapports d'analyse SSL/TLS (c'est-à-dire les résultats de sites tels que SSL Labs)
  • Questions relatives à l'utilisation de la bannière (savoir quel serveur web nous utilisons, etc.)
  • Ouvrir des ports sans que la vulnérabilité ne soit démontrée par un POC.
  • Vulnérabilités récemment divulguées. Comme tout le monde, nous avons besoin de temps pour corriger nos systèmes. Veuillez nous accorder deux semaines avant de signaler ce type de problèmes.

Récompense

Les récompenses du Bug Bounty seront payées sous forme de cartes cadeaux populaires. La valeur de la carte cadeau dépendra de la gravité et de la qualité du bogue, comme indiqué ci-dessous :

Gravité des bogues
Valeur de la récompense
Haut
$250
Moyen
$150
Faible
$100

Note

La décision finale sur l'éligibilité des bogues et la récompense sera prise par Empuls. Le programme existe à la discrétion de l'entreprise et peut être annulé à tout moment.

Vous avez trouvé un bogue ?

Si vous constatez un problème de sécurité potentiel tout en répondant à tous les critères requis par notre politique, contactez-nous pour déposer un ticket.

Rapport
Entreprise
A propos de nous
Carrières 🚀 Nous recrutons
Personnes et culture
Salle de presse
Partenaires
Programme de référence
Ressources
Toutes les caractéristiques
Blogs
Webinars
Télécharger
Témoignages de clients
Glossaire
Soutien
Applications mobiles
FAQs
Centre d'aide
Lancer un billet
Contactez-nous
Fixation des prix
Nous contacter
Réserver une démo
DP
Politique de confidentialité
Sécurité
Conditions d'utilisation
Bug Bounty
2024 Giift | Tous droits réservés