Serpstat White Hat Bounty Program
Дякуємо, що ви звернули увагу на нашу програму винагород за знайдені недоліки.
Ми цінуємо вашу допомогу в убезпеченні даних наших користувачів і винагороджуємо експертів, які повідомляють про вразливі місця нашого сервісу.
Якщо ви вважаєте, що виявили таку проблему, просимо вас створити звіт відповідно до вимог, які ви побачите далі. До того, як повідомляти про проблему, ознайомтесь із політикою відповідального оприлюднення інформації, правилами отримання винагороди, а також переконайтеся, що виявлений недолік не належить до переліку помилок, про які не варто повідомляти.
Ми розглянемо ваш звіт і зробимо все, щоб якомога швидше усунути проблему.
Політика відповідального оприлюднення інформації
Під час створення звіту дотримуйтесь таких рекомендацій, щоб уникнути ініціювання судових позовів проти вас та залучення правоохоронних органів для розслідування:
Умови програми винагород за знайдені помилки
Дотримуйтесь політики відповідального оприлюднення інформації (див.вище).
Опишіть вразливе місце у нашому сервісі або в інфраструктурі, що може зашкодити безпеці або конфіденційності інформації у звіті.
Пам'ятайте, що ступінь ризику визначає Serpstat і багато помилок у програмному забезпеченні не створюють недоліків у роботі системи безпеки. Ознайомтесь із переліком помилок, про які не варто повідомляти.
Звіти про проблеми та їх вміст
Ваш звіт має містити:
- Детальний опис проблеми.
- Умови і зразок відтворення і/або експлуатації максимально доступним способом, у разі необхідності зі скриншотами.
- Список використаних інструментів (наприклад, сканер безпеки, версія, браузер).
Ми навмисно не враховували деякі типи потенційних проблем безпеки.
Див. розділ "Діапазон дії програми" нижче.
Якщо під час дослідження проблеми ви навмисно порушили конфіденційність даних або роботу інших людей (наприклад, отримали доступ до інформації акаунту, конфігурацій сервісу або іншої конфіденційної інформації), то обов'язково зазначте це у своєму звіті.
Для аналізу проблем використовуйте тестові облікові записи. Якщо вам не вдається відтворити проблему за допомогою тестового акаунту, то використовуйте реальний (але не для автоматизованого тестування). Не використовуйте інші облікові записи без згоди їхніх власників.
Будь ласка, надішліть свій звіт на support@serpstat.com
Ми, оцінюючи ваші звіти, будемо дотримуватися таких правил:
Розмір винагороди
Максимальний розмір винагороди складає 100 доларів США або передплата на сервіси Serpstat на еквівалентну суму.
За виявлення проблем із дуже низьким рівнем ризику винагороди може не бути.
Одну винагороду отримує одна людина.
Ми виплачуємо винагороди лише тоді, коли це не суперечить чинним законам.
Діапазон дії програми винагород за знайдені помилки
Заборонено здійснювати будь-які маніпуляції з будь-якими запитами, які надсилаєте на сайт із вашого пристрою, або по-іншому втручатись у нормальну роботу сайту під час завантаження вашого звіту. (Наприклад, SQLi, XSS, відкриті переходи і вразливі місця, пов'язані з ігноруванням дозволів (такі як IDOR) не підлягають дії програми). Окрім цього, ви не маєте права доступу до інформації або права на використання будь-якого токену будь-якого акаунту Serpstat крім вашого.
Проблеми, які програма винагород не передбачає
- Спам і техніки соціальної інженерії.
- Атаки типу "відмова в обслуговуванні".
- Програма не враховує недоліки системи безпеки в інших застосунках і сервісах, інтегрованих із Serpstat.
- Помилкові результати.