Kalendar Penglibatan Pekerja 2025 bersiaran langsung.

Muat turun sekarang

Empuls Program Bounty Bug

Pada Empuls , kami memahami bahawa perlindungan data pengguna adalah keutamaan tinggi dan tanggungjawab penting yang memerlukan pemantauan berterusan. Kami amat menghargai semua orang dalam komuniti keselamatan yang membantu kami memastikan 100% keselamatan sistem kami pada setiap masa.

Kami percaya bahawa pendedahan yang bertanggungjawab terhadap kelemahan keselamatan membantu kami mengekalkan keselamatan dan privasi terbaik pengguna kami. Kami menjemput penyelidik keselamatan untuk melaporkan sebarang kelemahan keselamatan yang mungkin mereka hadapi dalam produk kami. Mereka yang menghantar pepijat dalam skop program kami akan diberi ganjaran yang besar atas sokongan dan kepakaran keselamatan mereka.

Bagaimana ia berfungsi

  1. Jika anda melihat sebarang kemungkinan isu keselamatan semasa memenuhi semua kriteria yang diperlukan dalam dasar kami, hubungi kami di support@ empuls .io untuk membuat tiket.
  2. Pasukan keselamatan kami akan mengesahkan keterukan dan ketulenan isu yang dilaporkan dalam masa 90 hari.  
  3. Selepas pengesahan, pasukan kami akan mengambil langkah untuk menyelesaikan isu keselamatan dengan dasar keselamatan kami.  
  4. Setelah isu itu diselesaikan, pasukan kami akan memaklumkan pemilik tiket tersebut.

Kelayakan

Untuk layak mendapat ganjaran, keperluan berikut mesti dipenuhi oleh anda:

  1. Anda mesti menjadi orang pertama yang melaporkan kerentanan kepada Empuls .  
  2. Isu ini mesti memberi kesan kepada mana-mana aplikasi yang disenaraikan di bawah skop kami yang ditentukan.  
  3. Isu ini mesti berada di bawah pepijat 'Kelayakan' yang disenaraikan.  
  4. Penerbitan maklumat kelemahan dalam domain awam tidak dibenarkan.  
  5. Sebarang maklumat tentang isu kerentanan mesti dirahsiakan sehingga isu itu diselesaikan.  
  6. Tiada dasar privasi ditetapkan oleh Empuls mesti dilanggar semasa melakukan ujian keselamatan.
  7. Pengubahsuaian atau pemadaman data pengguna yang tidak disahkan, gangguan pelayan pengeluaran atau sebarang bentuk kemerosotan kepada pengalaman pengguna adalah dilarang sama sekali.  

Pelanggaran mana-mana peraturan ini boleh mengakibatkan ketidaklayakan atau penyingkiran daripada Empuls program hadiah pepijat.

Garis panduan

  1. Gunakan hanya support@ empuls .io saluran yang dikenal pasti untuk melaporkan sebarang kelemahan keselamatan.
  2. Semasa menaikkan tiket, pastikan perihalan dan potensi kesan kerentanan disebutkan.
  3. Arahan terperinci tentang langkah-langkah yang perlu diikuti untuk menghasilkan semula kelemahan juga mesti disertakan.
  4. POC video yang lengkap hendaklah dilampirkan, menunjukkan semua langkah dan maklumat.
  5. Butiran mengenai skop dan kriteria kelayakan dinyatakan di bawah.

Skop

  1. Platform: https://empulsaccounts. xoxoday .com
  2. Tapak web di luar Skop: Subdomain pementasan, mana-mana subdomain lain yang tidak disambungkan ke empuls .io

Kelemahan Kelayakan

Sebarang reka bentuk atau isu pelaksanaan yang banyak menjejaskan kerahsiaan atau integriti data pengguna berkemungkinan berada dalam skop program. Contoh biasa termasuk:

  • Skrip silang tapak (XSS)
  • Pemalsuan Permintaan Rentas Tapak (CSRF)
  • Pemalsuan Permintaan Sebelah Pelayan (SSRF)
  • Suntikan SQL
  • Pelaksanaan Kod Jauh Sebelah Pelayan (RCE)
  • Serangan Entiti Luar XML (XXE)
  • Isu Kawalan Akses (Isu Rujukan Objek Langsung Tidak Selamat, Peningkatan Keistimewaan, dsb)
  • Panel Pentadbiran Terdedah yang tidak memerlukan kelayakan log masuk
  • Isu Traversal Direktori
  • Pendedahan Fail Setempat (LFD) dan Kemasukan Fail Jauh (RFI)
  • Manipulasi Pembayaran
  • Pepijat pelaksanaan kod sebelah pelayan
  • Pengehadan dan Pendikitan Kadar API
    - Melangkau had kadar API.
    - Keadaan perlumbaan dan isu konkurensi dalam titik akhir API.

Kerentanan Bukan Kelayakan

  • Ubah Hala Terbuka: 99% ubah hala terbuka mempunyai kesan keselamatan yang rendah. Untuk kes yang jarang berlaku di mana kesannya lebih tinggi, contohnya, mencuri token sumpah, kami masih mahu mendengar tentangnya
  • Laporan yang menyatakan bahawa perisian sudah lapuk/terdedah tanpa 'Bukti Konsep'
  • Isu pengepala hos tanpa POC yang disertakan menunjukkan kerentanan
  • Isu XSS yang hanya menjejaskan pelayar yang sudah lapuk
  • Susun tindanan yang mendedahkan maklumat
  • Clickjacking dan isu hanya boleh dieksploitasi melalui clickjacking
  • Suntikan CSV. Sila lihat artikel ini: Suntikan formula CSV | Google
  • Kebimbangan amalan terbaik
  • Laporan yang sangat spekulatif tentang kerosakan teori. Jadilah konkrit
  • Self-XSS yang tidak boleh digunakan untuk mengeksploitasi pengguna lain
  • Kerentanan seperti yang dilaporkan oleh alat automatik tanpa analisis tambahan tentang bagaimana ia menjadi isu
  • Laporan daripada pengimbas kerentanan web automatik (Acunetix, Burp Suite, Vega, dll.) yang belum disahkan
  • Penafian Serangan Perkhidmatan
  • Serangan Brute Force
  • Muat Turun Fail Tercermin (RFD)
  • Percubaan kejuruteraan fizikal atau sosial (ini termasuk serangan pancingan data terhadap Empuls pekerja)
  • Isu suntikan kandungan
  • Pemalsuan Permintaan Rentas Tapak (CSRF) dengan implikasi keselamatan yang minimum (Log Keluar CSRF, dsb.)
  • Tiada atribut autolengkap
  • Bendera kuki tiada pada kuki yang tidak sensitif terhadap keselamatan
  • Isu yang memerlukan akses fizikal kepada komputer mangsa
  • Pengepala keselamatan tiada yang tidak menunjukkan kelemahan keselamatan segera.
  • Isu Penipuan
  • Cadangan tentang peningkatan keselamatan
  • Laporan imbasan SSL/TLS (ini bermakna output daripada tapak seperti SSL Labs)
  • Isu rampasan sepanduk (memikirkan pelayan web yang kami gunakan, dsb.)
  • Buka port tanpa POC yang disertakan yang menunjukkan kelemahan
  • Kerentanan yang didedahkan baru-baru ini. Kami memerlukan masa untuk menampal sistem kami sama seperti orang lain – sila beri kami masa dua minggu sebelum melaporkan jenis isu ini

Ganjaran

Ganjaran Bug Bounty akan dibayar dalam bentuk kad hadiah popular. Nilai kad hadiah bergantung pada keparahan dan kualiti pepijat seperti di bawah:

Keterukan pepijat
Nilai Ganjaran
tinggi
$250
Sederhana
$150
rendah
$100

Nota

Keputusan muktamad mengenai kelayakan pepijat dan ganjaran akan dibuat oleh Empuls . Program ini wujud mengikut budi bicara firma dan boleh dibatalkan pada bila-bila masa.

Menemui Bug?

Hubungi kami untuk menaikkan tiket, Jika anda mendapati sebarang kemungkinan isu keselamatan semasa juga memenuhi semua kriteria yang diperlukan dalam dasar kami.

Laporan
Syarikat
Tentang kami
Kerjaya 🚀 yang Kami ambil
Orang &Budaya
Bilik Berita
Rakan kongsi
Program Rujukan
Sumber
Semua Ciri
Blog
Webinar
Muat turun
Cerita Pelanggan
Glosari
Sokongan
Aplikasi Mudah Alih
Soalan lazim
Pusat Bantuan
Naikkan Tiket
Berhubung
Harga
Hubungi kami
Tempah Demo
RFP
Dasar Privasi
Keselamatan
Terma Penggunaan
Bounty Pepijat
© 2025 Xoxoday | All Rights Reserved