Bug赏金计划

目标

• api.www.fmgroupng.com
• admin.www.fmgroupng.com.
• Recrypt-rs:转换加密库:可以下载这里*。
• SDK:可下载这里**。

重点领域

• 开发人员API的漏洞。
• 对用户帐户/信息的未经认证的访问，特别是PII(个人身份信息)。
• 加密问题，不包括SDK中的侧通道问题。10bet手机中文版有关文件可在以下网址找到://www.fmgroupng.com/docs.

范围外和漏洞排除

• DoS / DDoS
• 服务中断
• 物理攻击，社会工程攻击和任何类型的网络钓鱼攻击。
• 第三方系统和解决方案(任何不属于IronCore Labs管理的资源/服务)。
• 垃圾邮件或任何其他大规模分发给客户，合作伙伴等。
• 客户支持渠道(聊天、电话、电子邮件等)
• 不属于IronCore实验室的安全报告。如果您在未在我们的错误赏金程序范围内未涵盖的域的报告中，我们将忽略它。
• 特定于过期浏览器/插件的缺陷。
• 客户端控制的浏览器功能，例如如果在Web Crypto API的特定实现中找到漏洞。
• 运行在主机站点上的恶意代码
• 运行在浏览器插件中的恶意代码
• 简单的非xss内容注入。操纵URL以呈现包含自定义文本的页面，而不限定Bug Bounty程序。
• 跨站点请求伪造。
• 点击，以及任何问题只能通过ClickJack开展地利用。
• 在非敏感cookie上缺少安全标志。
• 跨站点请求伪造提交的问题，其中包含概念的验证。
• 漏洞与自动化工具(包括网络扫描仪)不包括概念代码证明或演示利用。
• 描述性错误消息。
• HTTP 404或其他HTTP错误码/页。
• 信息披露的公共文件或目录,例如robots . txt。
• 拼写错误，UI和UX错误。
• 没有MX记录的域缺少SPF记录的报告

• 漏洞报告必须有一个概念证明或详细的逐步解释的安全问题，以便我们可以复制它。
• 请检查范围部分，了解哪些系统和漏洞类别的列表。
• IronCore会对质量更高的报道给予更大的奖励，这些报道包括复制步骤和对用户的影响。
• 我们鼓励研究人员在他们的bug提交中包含屏幕截图或视频，以展示实际的bug。这些截屏或视频不能上传到公共位置，如公共Youtube视频。如果需要，我们可以提供安全共享大文件的方法。只是电子邮件我们。
• 如果有报告的问题，请包含解决问题的建议。
• 我们不会对勒索、辱骂或威胁语言做出反应。
• 诚信研究。
• 不要让您正在访问的任何系统处于比发现时更糟糕的状态。
• 我们需要能够联系研究人员获取更多信息。如果我们与您联系后七天没有回复，我们可能会关闭提交，让您没有资格获得奖励。
• 切勿公开披露客户信息。这是一个追捕错误，而不是客户数据。如果您在研究时找到访问客户信息的方法，请停止并将其报告给我们的Bug Bounty团队。持续未经授权，您无权以任何方式复制，存储，转移或披露客户信息。
• 只有在我们明确同意的情况下才公开披露漏洞。(见信息披露以下是更多细节。)
• 请确保避免损害基础设施，与客户互动，以及试图访问、操纵和/或攻击您没有明确拥有的帐户。
• 请不要创建过多的测试帐户进行测试。
• 避免使用站点范围的扫描仪。研究人员应使用有针对性的扫描工具，以防止影响生产环境。如果在使用目标扫描工具时发现性能下降，则必须停止使用它们。
• 注意自动扫描工具的速率和范围。
• 账户冻结:在测试期间，您的帐户可能会因欺诈保护措施而冻结。
• 由于美国政府的限制，来自伊朗、朝鲜、叙利亚、苏丹或古巴的研究人员没有资格参加铁芯实验室的Bug Bounty计划。
• 你必须年满18岁才能参加IronCore Labs Bug Bounty计划。

公开披露

优先级	报酬
P1.	1,000 -2000年
P2.	600 -1,000
P3.	200 -600
P4	100 -200.
P5	未获得报偿的

赃物

• 2018年10月8日添加了排除:“没有MX记录的域名丢失SPF记录的报告”