beplay官网可以赌Portswigge Bug Bounty程序

今天我们很高兴地宣布我们的BUG赏金计划。这封面:

该程序在Hackerone上管理,并通过该平台提交所有报告。

访问Hackeronebeplay官网可以赌上的Portswiggigge Bug Bounty程序。

访问Hackerone.

计划政策的完整细节如下。在执行任何测试或提交任何报告之前,请仔细阅读策略并完整。

范围

portswigge netbeplay官网可以赌等support.portswigge net.net的子域严格超出范围。不要测试这些。

如果您希望测试Burp Collaborator功能,请配置您自己的私人协作者服务器并测试。

感兴趣的脆弱性

以下是我们可以考虑有效的漏洞的一些示例,以及您可以期望的粗略指导方针:

关键 - 5000美元

  • SQL注射在pobeplay官网可以赌rtswiggegenge.net上
  • 远程检索其他用户的Burp Collaborator交互

高 - 3000美元

  • 存储XS在pobeplay官网可以赌rtswiggegenge.net上
  • 文件路径遍历在pobeplay官网可以赌rtswiggegenge.net上
  • portswiggenet上的完整身份验证旁路beplay官网可以赌
  • 通过beplay体育能用吗Burp Suite访问的网站可以使Burp执行任意代码

中等 - 1000美元

  • 通过beplay体育能用吗Burp Suite访问的网站可以从用户的系统检索本地文件
  • 通过beplay体育能用吗Burp Suite访问的网站可以从Burp的网站地图中提取数据
  • 可利用的反映了XS在pobeplay官网可以赌rtswiggegenge.net上
  • CSRF关于重大行动

任何涉及不太可能的用户互动的中等严重性问题 - 350美元

  • 由于CSP而反映了XSS,这是由于CSP而无法解释的
  • 使用beplay体育能用吗BRP Suite扫描的网站可以将JavaScript注入从扫描仪导出的报告作为HTML
  • DLL劫持Burp Suite安装程序,在完全修补的Windows 7 / 8.1 / 10上

问题并不兴趣

以下是严格禁止的,可能导致您被禁止从计划,网站或两者中禁止:beplay体育能用吗

  • 拒绝服务攻击
  • 身体或社会工程尝试
  • PortswiggeNet的定位子域beplay官网可以赌
  • 野蛮的子域名
  • 垃圾邮件订购
  • 无顽滞自动化扫描 - 请将所有工具放到每秒一个请求。

我们对低严重程度,纯粹的理论和最佳实践问题不感兴趣。这里有些例子:

  • 拒绝服务漏洞
  • 标题如服务器/ X-Powered-opery透露版本信息
  • XSS在非当前浏览器中的问题
  • window.opener相关的问题
  • 从自动化的未经验证的报告漏洞扫描仪
  • CSRF具有最小的安全影响(LOGOUT等)
  • 与电子邮件欺骗相关的问题(例如SPF / DMARC)
  • DNS问题
  • 内容欺骗
  • 报告说,如果没有概念证明,那么该软件已过期或易受攻击
  • 缺少自动完成属性
  • 在非安全敏感cookie上丢失cookie标志
  • SSL / TLS扫描报告(这意味着SSL Labs等站点的输出)
  • 缓存问题
  • 并发会议
  • HPKP / HSTS预加载
  • 令人难以置信的野蛮攻击

我们认为有一些已知的问题是低严重程度,但最终可能会修复:

  • 由于客户编号通过明文通过电子邮件发送,因此应该鼓励用户首次登录时重新生成它们。
  • 生成新的客户号码应杀死所有相关的会话。
  • 发票,报价和收据可以由给出链接的任何人访问。这是一个有意的设计决定,以便共享(未经赋予该链接在没有赋予某人的发票的能力,将被视为严重漏洞)。

一些其他警告:

  • PayPal价格可以被篡改,但不足会导致产品不送货所以这不是安全问题。
  • 我们使用内容 - 安全策略(CSP)网站范围。这意味着您将难以执行警报(1)。为了最大化您的支付,请参阅是否可以进行有效负载,以窃取一些敏感信息。
  • 作为Burp套件的制造商,我们可以向您保证,我们已经扫描了我们的网站。beplay体育能用吗不要浪费你的带宽。
  • 包括BAPP商店中的扩展位于范围内。

什么构成Burp套件的漏洞?

Burp Suite运行的系统是可信的,并且可以访问每个可以访问代理侦听器的系统访问Burp中的数据。扩展,配置文件和项目文件也是值得信任的。beplay体育能用吗通过Burp访问的网站是不受信任的,因此网站可以执行读取用户计算机的文件,读取Burp套件的读取数据,或者获得远程执行将被视为漏洞。此外,任何让别人的合作伙伴互动的方式都会被视为漏洞。Burp不会通过设计执行上游SSL信任,因此我们目前没有涉及像Web浏览器中漏洞的弱SSL密码等问题。beplay体育能用吗检测Burp使用率,拒绝服务漏洞,以及许可证执行/混淆问题都脱离了范围。有关一些示例漏洞,请参阅支付指南。

接触

如果您有任何疑问,可以联系我们support@beplay官网可以赌portswigge net.

祝好运并玩得开心点!