SMS-ACTIVATE
Browser
Aturan partisipasi dalam program Bug Bounty
Selamat datang di program Bug Bounty! Partisipasi Anda membantu meningkatkan keamanan produk dan layanan kami. Harap pahami aturan berikut untuk memastikan kolaborasi yang efektif dan etis
Pendaftaran dan Verifikasi
- Pendaftaran: untuk berpartisipasi dalam program ini, Anda harus terlebih dahulu mendaftar ke situs web sms-aktifkan.guru Berikan akun Telegram Anda selama proses pendaftaran untuk kemudahan komunikasi;
- Verifikasi: Anda harus melalui proses verifikasi untuk menerima pembayaran. Instruksi terperinci akan dikirimkan kepada Anda melalui Telegram setelah laporan Anda disetujui.
Memberikan laporan
- Mempelajari Aturan: Sebelum mengirimkan laporan Anda, harap pahami aturan partisipasi dan jenis kerentanan yang dapat dipertimbangkan;
- Formulir Pelaporan: gunakan formulir di halaman sms-activate.id/bugbountyForm untuk menyampaikan laporan Anda. Laporan Anda harus berisi deskripsi yang jelas tentang kerentanan, langkah-langkah untuk mereproduksinya, bukti (tangkapan layar, video) dan rekomendasi untuk memperbaikinya;
- File tambahan: lampirkan file tambahan untuk mengonfirmasi kerentanan jika perlu;
Proses peninjauan laporan
Laporan Anda akan dianalisis secara cermat oleh pakar keamanan kami. Proses ini bisa memakan waktu hingga tiga bulan. Selama waktu ini, laporan mungkin diberi salah satu status berikut: "menunggu keputusan", "diurutkan", "ditolak oleh moderator", "diperlukan informasi lebih lanjut", dan lain-lain.
Jenis kerentanan
DI DALAM
Anda akan menemukan daftar jenis kerentanan yang tidak memenuhi syarat untuk mendapatkan hadiah. Di dalam
kriteria untuk menilai tingkat kepentingan suatu kerentanan telah ditentukan.
Verifikasi dan privasi
Semua data pribadi yang Anda berikan untuk tujuan verifikasi akan digunakan semata-mata untuk tujuan identifikasi, dan tidak akan diungkapkan kepada pihak ketiga tanpa persetujuan Anda. Kami melakukan yang terbaik untuk memastikan privasi dan keamanan data Anda.
Pembayaran
Setelah verifikasi berhasil dan konfirmasi kerentanan, Anda akan ditawari hadiah. Besaran imbalan ditentukan berdasarkan tingkat kepentingan kerentanan dan kualitas laporan yang diberikan.
Norma etika
Kami mengharapkan peserta untuk bertindak secara bertanggung jawab dan etis. Dilarang mengeksploitasi kerentanan yang ditemukan untuk menyebabkan kerusakan, mendapatkan akses tidak sah ke data atau sistem, atau menyebarkan informasi tentang kerentanan hingga kerentanan tersebut diperbaiki.
Kesimpulan
Kami menghargai kontribusi Anda dalam meningkatkan keamanan produk dan layanan kami. Partisipasi Anda membantu menciptakan ruang digital yang lebih aman bagi kita semua.
Semoga Anda beruntung dalam mencari kerentanan! Kontribusi Anda sangat berharga, jadi kami berterima kasih atas bantuan Anda dalam mengamankan sistem kami.
Lampiran A
Jenis kerentanan yang tidak menjadi objek imbalan (kerentanan tingkat rendah yang tidak menimbulkan konsekuensi kritis jika dieksploitasi, antara lain):
- KERING (laporan mengenai jenis kerentanan ini hanya diterima jika tingkat kekritisan tinggi; tingkat kekritisan ditentukan oleh spesialis kami ketika kerentanan terkonfirmasi);
- Segala jenis kerentanan XSS, kecuali untuk XSS Tersimpan (Laporan kerentanan XSS Tersimpan diterima tergantung pada pentingnya sumber daya web);
- Pembajakan klik;
- URI Pengalihan Tidak Aman;
- Daftar Direktori Diaktifkan (kata sandi, cadangan) dan Paparan data sensitif (tergantung pada data yang diungkapkan; laporan mengenai kerentanan ini diterima jika data penting ditemukan);
- Mode debug diaktifkan, itu tidak mengungkapkan data penting;
- kerentanan CSRF, ditemukan dalam suatu fungsi yang tidak kritis;
- Pengungkapan panel admin (jika pemburu bug menemukan dasbor admin, tetapi tidak dapat melakukan pengambilalihan akun atau memperoleh informasi penting lainnya);
- Pencacahan Pengguna tanpa mengungkapkan data penting;
- Kesalahan Konfigurasi Keamanan, dalam hal tidak ada bukti bahwa ancaman telah terjadi;
- Menolak untuk memberikan layanan;
- Spam;
- Rekayasa sosial, ditujukan untuk karyawan, kontraktor atau pelanggan;
- Segala upaya fisik untuk mendapatkan akses ke properti atau pusat data
- Pemilik sistem;
- Laporan dibuat dengan menggunakan alat dan pemindaian otomatis;
- Kesalahan pada perangkat lunak pihak ketiga;
- Tidak adanya header keamanan hal tersebut tidak secara langsung mengarah pada kerentanan;
- Pelanggaran kepercayaan SSL/TLS;
- Kerentanan hanya memengaruhi pengguna browser dan platform yang sudah ketinggalan zaman atau tidak berlisensi;
- Kebijakan pemulihan kata sandi dan akun, misalnya tanggal habis masa berlaku tautan penyetelan ulang atau kekuatan kata sandi;
- Catatan DNS kedaluwarsa, menunjuk ke sistem yang bukan milik pemilik sistem.
Isi
Lampiran B
Jenis kerentanan berdasarkan tingkat kekritisannya:
Kerentanan
Rendah
Sedang
Tinggi
Penjelajahan Jalur
10
40
70
Daftar Direktori Diaktifkan
10
40
URI Pengalihan Tidak Aman
5
10
Pembajakan klik
5
Kekuatan Kasar
5
SQL Injection (database kosong, database berguna)
10
40
70
Injeksi Entitas Eksternal XML
50
70
Penyertaan File Lokal
50
Eksekusi Kode Jarak Jauh
10
50
100
Lewati Otentikasi
50
90
Pengambilalihan Akun
50
90
Referensi Objek Langsung Tidak Aman
10
XSS yang disimpan
20-30
XSS yang dipantulkan
10-20
Permintaan Sisi Server
40-60
Pemalsuan Permintaan Lintas Situs
10-20
Kondisi Balapan
10
90
Injeksi Templat Sisi Server
20
80
Penjelajahan Jalur
Rendah
10
Sedang
40
Tinggi
70
Daftar Direktori Diaktifkan
Rendah
10
Sedang
40
Tinggi
URI Pengalihan Tidak Aman
Rendah
5
Sedang
10
Tinggi
Pembajakan klik
Rendah
5
Sedang
Tinggi
Kekuatan Kasar
Rendah
5
Sedang
Tinggi
SQL Injection (database kosong, database berguna)
Rendah
10
Sedang
40
Tinggi
70
Injeksi Entitas Eksternal XML
Rendah
Sedang
50
Tinggi
70
Penyertaan File Lokal
Rendah
Sedang
50
Tinggi
Eksekusi Kode Jarak Jauh
Rendah
10
Sedang
50
Tinggi
100
Lewati Otentikasi
Rendah
Sedang
50
Tinggi
90
Pengambilalihan Akun
Rendah
Sedang
50
Tinggi
90
Referensi Objek Langsung Tidak Aman
Rendah
10
Sedang
Tinggi
XSS yang disimpan
Rendah
20-30
Sedang
Tinggi
XSS yang dipantulkan
Rendah
10-20
Sedang
Tinggi
Permintaan Sisi Server
Rendah
Sedang
40-60
Tinggi
Pemalsuan Permintaan Lintas Situs
Rendah
10-20
Sedang
Tinggi
Kondisi Balapan
Rendah
10
Sedang
Tinggi
90
Injeksi Templat Sisi Server
Rendah
20
Sedang
Tinggi
80
Poin berdasarkan tingkat kritis kerentanan diberikan sebagai berikut:
- Tingkat kepentingan rendah - dari 0 hingga 30 poin;
- Tingkat kepentingan sedang - dari 31 hingga 60 poin;
- Tingkat kepentingan yang tinggi - dari 61 hingga 100 poin.
- sms-aktifkan.guru
- hstock.org
- ipkings.io
Hadiah
Jumlah imbalannya bergantung pada tingkat kritis kerentanan, kemudahan eksploitasi, dan dampaknya terhadap data pengguna. Tingkat kekritisan sering kali diputuskan bersama dengan pengembang dan dapat memakan waktu lebih lama.
Kerentanan
Hadiah
Eksekusi Kode Jarak Jauh (RCE)
$1500 - $5000
Akses file lokal dan lainnya (LFR, RFI, XXE)
$500 - $3000
Suntikan
$500 - $3000
Cross-Site Scripting (XSS), tidak termasuk Self-XSS
$100 - $500
SSRF, kecuali orang buta
$300 - $1000
SSRF buta
$100 - $500
Kebocoran memori / IDOR / Pengungkapan informasi dengan data pribadi yang dilindungi atau informasi sensitif pengguna
$70 - $1150
Kerentanan lain yang dikonfirmasi
Tergantung pada kekritisannya
Semua aplikasi SMS-Activate yang menangani data pengguna terlibat. Aplikasi kami dapat ditemukan di Google Bermain
Dan Toko Aplikasi
dengan nama SMS-Aktifkan
Aplikasi
Kerentanan
Hadiah
Eksekusi Kode Jarak Jauh (RCE)
$1500 - $5000
Akses file lokal dan lainnya (LFR, RFI, XXE)
$500 - $3000
Suntikan
$500 - $3000
SSRF, kecuali orang buta
$300 - $1000
SSRF buta
$100 - $500
Kebocoran memori / IDOR / Pengungkapan informasi dengan data pribadi yang dilindungi atau informasi sensitif pengguna
$70 - $1150
Pemalsuan Permintaan Lintas Situs (СSRF, permintaan lintasdomain Flash, CORS)
$35 — $300
Kerentanan lain yang dikonfirmasi
Tergantung pada kekritisannya
