Il calendario 2025 del coinvolgimento dei dipendenti è disponibile.

Scarica ora

Programma Empuls Bug Bounty

In Empuls siamo consapevoli che la protezione dei dati dei consumatori è una priorità assoluta e una responsabilità importante che richiede un monitoraggio costante. Apprezziamo profondamente tutti coloro che fanno parte della comunità della sicurezza e che ci aiutano a garantire sempre il 100% di sicurezza dei nostri sistemi.

Crediamo che la divulgazione responsabile delle vulnerabilità di sicurezza ci aiuti a mantenere la massima sicurezza e privacy dei nostri utenti. Invitiamo i ricercatori di sicurezza a segnalare qualsiasi vulnerabilità di sicurezza riscontrata nei nostri prodotti. Coloro che segnalano bug che rientrano nell'ambito del nostro programma saranno ricompensati per il loro supporto e la loro esperienza in materia di sicurezza.

Come funziona

  1. Se notate un potenziale problema di sicurezza pur rispettando tutti i criteri richiesti dalla nostra politica, contattateci all'indirizzo empuls per creare un ticket.
  2. Il nostro team di sicurezza convaliderà la gravità e l'autenticità del problema segnalato entro 90 giorni.  
  3. Dopo la convalida, il nostro team prenderà provvedimenti per risolvere i problemi di sicurezza con le nostre politiche di sicurezza.  
  4. Una volta risolto il problema, il nostro team informerà il proprietario del ticket.

Ammissibilità

Per avere diritto a una ricompensa, dovete soddisfare i seguenti requisiti:

  1. Dovete essere la prima persona a segnalare una vulnerabilità a Empuls.  
  2. Il problema deve avere un impatto su una qualsiasi delle applicazioni elencate nel nostro ambito definito.  
  3. Il problema deve rientrare tra i bug "qualificanti" elencati.  
  4. Non è consentita la pubblicazione di informazioni sulla vulnerabilità di pubblico dominio.  
  5. Tutte le informazioni sul problema di vulnerabilità devono essere mantenute riservate fino alla risoluzione del problema.  
  6. Durante l'esecuzione dei test di sicurezza non devono essere violate le norme sulla privacy stabilite da Empuls .
  7. È assolutamente vietata la modifica o la cancellazione dei dati degli utenti non autenticati, l'interruzione dei server di produzione o qualsiasi forma di degrado dell'esperienza degli utenti.  

La violazione di una qualsiasi di queste regole può comportare l'ineleggibilità o l'eliminazione dal programma Empuls bug bounty.

Linee guida

  1. Utilizzare solo il canale identificato empuls per segnalare qualsiasi vulnerabilità di sicurezza.
  2. Durante l'apertura del ticket, assicurarsi che vengano menzionati la descrizione e l'impatto potenziale della vulnerabilità.
  3. Devono essere incluse anche istruzioni dettagliate sui passi da seguire per riprodurre la vulnerabilità.
  4. È necessario allegare un video POC completo, che mostri tutti i passaggi e le informazioni.
  5. I dettagli sull'ambito di applicazione e sui criteri di qualificazione sono indicati di seguito.

Ambito di applicazione

  1. Piattaforma: https:xoxoday
  2. Siti web fuori dal campo di applicazione: sottodomini in fase di staging, qualsiasi altro sottodominio che non sia collegato a empuls.io

Vulnerabilità qualificate

Qualsiasi problema di progettazione o implementazione che influisca in modo sostanziale sulla riservatezza o sull'integrità dei dati degli utenti può rientrare nell'ambito del programma. Esempi comuni sono:

  • Cross-site Scripting (XSS)
  • Falsificazione delle richieste cross-site (CSRF)
  • Falsificazione delle richieste sul lato server (SSRF)
  • Iniezione SQL
  • Esecuzione di codice remoto lato server (RCE)
  • Attacchi alle entità esterne di XML (XXE)
  • Problemi di controllo degli accessi (problemi di riferimento diretto insicuro agli oggetti, escalation dei privilegi, ecc.)
  • Pannelli amministrativi esposti che non richiedono credenziali di accesso
  • Problemi di attraversamento delle directory
  • Divulgazione locale di file (LFD) e inclusione remota di file (RFI)
  • Manipolazione dei pagamenti
  • Bug di esecuzione del codice lato server
  • Limitazione e strozzatura della velocità delle API
    - Bypassare i limiti di velocità delle API.
    - Condizioni di gara e problemi di concorrenza negli endpoint API.

Vulnerabilità non qualificanti

  • Reindirizzamenti aperti: Il 99% dei reindirizzamenti aperti ha un basso impatto sulla sicurezza. Per i rari casi in cui l'impatto è maggiore, ad esempio per il furto di token oauth, vogliamo comunque avere notizie su di essi.
  • Rapporti che affermano che il software è obsoleto/vulnerabile senza una "prova di concetto".
  • Problemi di intestazione dell'host senza un POC di accompagnamento che dimostri la vulnerabilità
  • Problemi XSS che riguardano solo i browser obsoleti
  • Tracce di stack che rivelano informazioni
  • Clickjacking e problemi sfruttabili solo attraverso il clickjacking
  • Iniezione di CSV. Si veda questo articolo: Iniezione di formule CSV | Google
  • Problemi di best practice
  • Rapporti altamente speculativi su danni teorici. Siate concreti
  • Self-XSS che non può essere utilizzato per sfruttare altri utenti
  • Vulnerabilità segnalate da strumenti automatici senza un'analisi aggiuntiva che ne spieghi la natura di problema.
  • Rapporti provenienti da scanner automatizzati di vulnerabilità web (Acunetix, Burp Suite, Vega, ecc.) che non sono stati convalidati.
  • Attacchi di negazione del servizio
  • Attacchi di forza bruta
  • Download di file riflesso (RFD)
  • Tentativi di ingegneria fisica o sociale (sono compresi gli attacchi di phishing contro i dipendenti Empuls )
  • Problemi di iniezione di contenuti
  • Cross-site Request Forgery (CSRF) con implicazioni minime per la sicurezza (Logout CSRF, ecc.).
  • Attributi di completamento automatico mancanti
  • Flag mancanti sui cookie non sensibili alla sicurezza
  • Problemi che richiedono l'accesso fisico al computer di una vittima
  • Intestazioni di sicurezza mancanti che non presentano una vulnerabilità immediata.
  • Problemi di frode
  • Raccomandazioni sul miglioramento della sicurezza
  • Rapporti di scansione SSL/TLS (si tratta dei risultati di siti come SSL Labs)
  • Problemi di Banner grabbing (capire quale server web utilizziamo, ecc.)
  • Aprire le porte senza un POC di accompagnamento che dimostri la vulnerabilità
  • Vulnerabilità divulgate di recente. Abbiamo bisogno di tempo per applicare le patch ai nostri sistemi, proprio come tutti gli altri: dateci due settimane di tempo prima di segnalare questo tipo di problemi.

Ricompensa

Le ricompense del Bug Bounty saranno pagate sotto forma di carte regalo popolari. Il valore della carta regalo dipenderà dalla gravità e dalla qualità del bug, come indicato di seguito:

Gravità del bug
Valore della ricompensa
Alto
$250
Medio
$150
Basso
$100

Nota

La decisione finale sull'idoneità degli insetti e sulla ricompensa sarà presa da Empuls. Il programma esiste a discrezione dell'azienda e può essere annullato in qualsiasi momento.

Trovato un bug?

Se notate un potenziale problema di sicurezza e rispettate tutti i criteri richiesti dalla nostra politica, contattateci per inviare una segnalazione.

Rapporto
Azienda
Chi siamo
Carriere 🚀 Stiamo assumendo
Persone e cultura
Sala stampa
Partner
Programma di riferimento
Risorse
Tutte le caratteristiche
Blog
Webinar
Scaricare
Storie di clienti
Glossario
Supporto
Applicazioni mobili
Domande frequenti
Centro di assistenza
Alzare un biglietto
Servizi professionali
Contattateci
Prezzi
Contattateci
Prenota una dimostrazione
RFP
Informativa sulla privacy
Sicurezza
Condizioni di utilizzo
Bug Bounty
© 2025 Xoxoday | Tutti i diritti riservati