今天我们很高兴地宣布我们的BUG赏金计划。这封面:
- 我们的网beplay体育能用吗站https://beplay官网可以赌portswiggenet.net.
- Burp Suite软件(最新版本)
该程序在Hackerone上管理,并通过该平台提交所有报告。
访问Hackeronebeplay官网可以赌上的Portswiggigge Bug Bounty程序。
计划政策的完整细节如下。在执行任何测试或提交任何报告之前,请仔细阅读策略并完整。
范围
- beplay体育能用吗网站:https://beplay官网可以赌www.muteki-anime.com/
- 软件:Burp Suite Professional.和Burp Suite免费版(最新版本)
portswigge netbeplay官网可以赌等support.portswigge net.net的子域严格超出范围。不要测试这些。
如果您希望测试Burp Collaborator功能,请配置您自己的私人协作者服务器并测试。
感兴趣的脆弱性
以下是我们可以考虑有效的漏洞的一些示例,以及您可以期望的粗略指导方针:
关键 - 5000美元
- SQL注射在pobeplay官网可以赌rtswiggegenge.net上
- 远程检索其他用户的Burp Collaborator交互
高 - 3000美元
- 存储XS在pobeplay官网可以赌rtswiggegenge.net上
- 文件路径遍历在pobeplay官网可以赌rtswiggegenge.net上
- portswiggenet上的完整身份验证旁路beplay官网可以赌
- 通过beplay体育能用吗Burp Suite访问的网站可以使Burp执行任意代码
中等 - 1000美元
- 通过beplay体育能用吗Burp Suite访问的网站可以从用户的系统检索本地文件
- 通过beplay体育能用吗Burp Suite访问的网站可以从Burp的网站地图中提取数据
- 可利用的反映了XS在pobeplay官网可以赌rtswiggegenge.net上
- CSRF关于重大行动
任何涉及不太可能的用户互动的中等严重性问题 - 350美元
- 由于CSP而反映了XSS,这是由于CSP而无法解释的
- 使用beplay体育能用吗BRP Suite扫描的网站可以将JavaScript注入从扫描仪导出的报告作为HTML
- DLL劫持Burp Suite安装程序,在完全修补的Windows 7 / 8.1 / 10上
问题并不兴趣
以下是严格禁止的,可能导致您被禁止从计划,网站或两者中禁止:beplay体育能用吗
- 拒绝服务攻击
- 身体或社会工程尝试
- PortswiggeNet的定位子域beplay官网可以赌
- 野蛮的子域名
- 垃圾邮件订购
- 无顽滞自动化扫描 - 请将所有工具放到每秒一个请求。
我们对低严重程度,纯粹的理论和最佳实践问题不感兴趣。这里有些例子:
- 拒绝服务漏洞
- 标题如服务器/ X-Powered-opery透露版本信息
- XSS在非当前浏览器中的问题
- window.opener相关的问题
- 从自动化的未经验证的报告漏洞扫描仪
- CSRF具有最小的安全影响(LOGOUT等)
- 与电子邮件欺骗相关的问题(例如SPF / DMARC)
- DNS问题
- 内容欺骗
- 报告说,如果没有概念证明,那么该软件已过期或易受攻击
- 缺少自动完成属性
- 在非安全敏感cookie上丢失cookie标志
- SSL / TLS扫描报告(这意味着SSL Labs等站点的输出)
- 缓存问题
- 并发会议
- HPKP / HSTS预加载
- 令人难以置信的野蛮攻击
我们认为有一些已知的问题是低严重程度,但最终可能会修复:
- 由于客户编号通过明文通过电子邮件发送,因此应该鼓励用户首次登录时重新生成它们。
- 生成新的客户号码应杀死所有相关的会话。
- 发票,报价和收据可以由给出链接的任何人访问。这是一个有意的设计决定,以便共享(未经赋予该链接在没有赋予某人的发票的能力,将被视为严重漏洞)。
一些其他警告:
- PayPal价格可以被篡改,但不足会导致产品不送货所以这不是安全问题。
- 我们使用内容 - 安全策略(CSP)网站范围。这意味着您将难以执行警报(1)。为了最大化您的支付,请参阅是否可以进行有效负载,以窃取一些敏感信息。
- 作为Burp套件的制造商,我们可以向您保证,我们已经扫描了我们的网站。beplay体育能用吗不要浪费你的带宽。
- 包括BAPP商店中的扩展位于范围内。
什么构成Burp套件的漏洞?
Burp Suite运行的系统是可信的,并且可以访问每个可以访问代理侦听器的系统访问Burp中的数据。扩展,配置文件和项目文件也是值得信任的。beplay体育能用吗通过Burp访问的网站是不受信任的,因此网站可以执行读取用户计算机的文件,读取Burp套件的读取数据,或者获得远程执行将被视为漏洞。此外,任何让别人的合作伙伴互动的方式都会被视为漏洞。Burp不会通过设计执行上游SSL信任,因此我们目前没有涉及像Web浏览器中漏洞的弱SSL密码等问题。beplay体育能用吗检测Burp使用率,拒绝服务漏洞,以及许可证执行/混淆问题都脱离了范围。有关一些示例漏洞,请参阅支付指南。
接触
如果您有任何疑问,可以联系我们support@beplay官网可以赌portswigge net.。
祝好运并玩得开心点!