Bug赏金计划

在IronCore实验室,数据的安全是我们的任务的核心,我们想知道任何可能对该安全构成威胁的漏洞。

概述

我们的漏洞奖励计划是为了奖励像您这样遵循负责任的披露原则的人,当您发现可能影响我们平台或我们客户安全的漏洞时,请联系我们。
为了参与,你需要遵循以下简单的指导方针。我们可以根据自己的判断,删除并阻止那些被发现滥用我们的测试指南的测试帐户。

谁能参加?

任何不为IronCore实验室或我们的合作伙伴工作的人都有资格获得奖励,但作为负责任的披露实践的一部分,任何人都可以向我们提交问题。

范围

目标

在范围内考虑了下列目标:
  • api.www.fmgroupng.com
  • admin.www.fmgroupng.com
  • Recrypt-rs:转换加密库:可以下载在这里*.
  • SDK:可下载在这里tiananmen square crackdown
注意,github.com不在范围内。
Arunachal Pradesh,注意npmjs.com不在作用域内。
重要的是: 请注意,在IronCore的主页上发现的任何漏洞,www.fmgroupng.com,或未包含在上述列表中,则被认为不在此bug奖励程序的范围内。

重点领域

该程序主要针对IronCore Labs开发人员api和SDK的漏洞。
  • 开发人员API的漏洞。
  • 对用户帐户/信息的未经认证的访问,特别是PII(个人身份信息)。
  • 加密问题,不包括SDK中的侧通道问题。10bet手机中文版有关文件可在以下网址找到://www.fmgroupng.com/docs
生产环境:请注意,这个程序范围是一个生产环境。考虑到这一点,请确保避免损害基础设施,与客户互动,以及试图访问、操纵和/或攻击您没有明确拥有的帐户。

范围外和漏洞排除

IronCore的主要网站:*请注意在IronCore的主页上发现的任何漏洞,www.fmgroupng.com,或未在目标部分中列出的域的范围并且不符合IronCore的bug赏金计划。*
  • DoS / DDoS
  • 服务中断
  • 物理攻击、社会工程攻击和任何类型的网络钓鱼攻击。
  • 第三方系统和解决方案(任何不属于IronCore Labs管理的资源/服务)。
  • 垃圾邮件或任何其他大规模分发给客户,合作伙伴等。
  • 客户支持渠道(聊天、电话、电子邮件等)
  • 不属于IronCore实验室的安全报告.如果您发送的报告涉及的领域不在我们的bug奖励计划的范围内,我们将忽略它。
  • 特定于过期浏览器/插件的缺陷。
  • 由客户端控制的浏览器函数,例如在Web Crypto API的特定实现中发现漏洞。
  • 运行在主机站点上的恶意代码
  • 运行在浏览器插件中的恶意代码
  • 简单的非xss内容注入.操纵URL来显示包含自定义文本的页面不符合bug赏金程序的条件。
  • 跨站点请求伪造。
  • “点击劫持”,以及任何只能通过点击劫持来利用的问题。
  • 在非敏感cookie上缺少安全标志
  • 跨站点请求伪造与包含现在的概念证明一起提交的问题。
  • 漏洞与自动化工具(包括网络扫描仪)不包括概念代码证明或演示利用。
  • 描述性的错误消息。
  • HTTP 404或其他HTTP错误码/页。
  • 信息披露的公共文件或目录,例如robots . txt。
  • 拼写错误, UI和UX bug。
  • 没有MX记录的域缺少SPF记录的报告

如何提交?

请为我们的bug赏金计划披露一个问题填写表格.我们将通过电子邮件回复您的表单提交。如果您有更多的信息需要披露或文件需要附加,您可以在收到的电子邮件中回复附加项目。
在提交之前,请阅读下面的指导方针、范围和其他信息,以了解你应该做什么和不应该做什么,以及什么有资格或没有资格获得赏金。

的指导方针

  • 漏洞报告必须有一个概念证明或详细的逐步解释的安全问题,以便我们可以复制它。
  • 请检查范围部分的一个列表的系统和种类的弱点是接受的。
  • IronCore会对质量更高的报道给予更大的奖励,这些报道包括复制步骤和对用户的影响。
  • 我们鼓励研究人员在他们的bug提交中包含屏幕截图或视频,以展示实际的bug。这些截屏或视频不能上传到公共位置,如公共Youtube视频。如果需要,我们可以提供安全共享大文件的方法。只是电子邮件我们。
  • 如果有报告的问题,请包含解决问题的建议。
  • 我们不会对勒索、辱骂或威胁语言做出反应。
  • 诚信研究。
  • 不要让您正在访问的任何系统处于比发现时更糟糕的状态。
  • 我们需要联系研究人员以获得更多信息。如果7天过去了,我们联系你后没有回应,我们可能关闭提交,使你没有资格获得奖励。
  • 永远不要公开客户信息。这是在寻找漏洞,而不是客户数据。如果您在研究过程中找到了获取客户信息的方法,请停止并向我们的bug bounty团队报告。没有授权继续,您也没有授权以任何方式复制、存储、转让或披露客户信息。
  • 只有在我们明确同意的情况下才公开披露漏洞。(见信息披露以下是更多细节。)
  • 请确保避免损害基础设施,与客户互动,以及试图访问、操纵和/或攻击您没有明确拥有的帐户。
  • 请不要为测试创建过多的帐户。
  • 避免使用站点范围的扫描仪。研究人员应使用有针对性的扫描工具,以防止影响生产环境。如果在使用目标扫描工具时发现性能下降,则必须停止使用它们。
  • 注意自动扫描工具的速度和范围。
  • 账户冻结:在测试期间,您的帐户可能会由于欺诈保护措施而被冻结。
  • 由于美国政府的限制,来自伊朗、朝鲜、叙利亚、苏丹或古巴的研究人员没有资格参加铁芯实验室的Bug Bounty计划。
  • 你必须年满18岁才能参加IronCore Labs Bug Bounty计划。

公开披露

我们将尽快补救任何关键问题,测试补救措施,并向客户提供补救措施。我们要求您等到我们推出这些修复后再公开披露任何问题。在某些情况下,我们可能需要一些额外的时间,以便客户可以更新他们的SDK版本。
任何未得到我们书面同意的公开漏洞披露将导致您不符合IronCore Labs漏洞奖励计划的资格。

奖励

此程序使用 漏洞等级分类对调查结果进行优先排序/评级。
提交bug可以获得奖励,如果你是第一个提醒我们之前未知问题的研究员,该问题会触发代码或配置更改。
IronCore Labs使用PayPal支付奖励。
优先级 奖励
P1 1000 -2,000
P2 600 -1000年
P3 200 -600
P4 100 -200
P5 未获得报偿的

赃物

IronCore Labs将为提交有效P3-P1漏洞的研究人员提供t恤奖励。在提交被验证和审核后,我们会联系您。IronCore实验室将尽最大努力(但不能保证)为合格的研究人员提供他们的战利品。遗憾的是,要把包裹寄到世界上一些地方是非常困难的。

法律

铁芯实验室保留修改“铁芯实验室漏洞奖励计划”条款和条件的权利,或随时取消该计划。您参与本计划即表示接受所有条款。任何对本页的更改均自发布之日起生效。

更新

本页更新
  • 2018年10月8日添加了排除:“没有MX记录的域名丢失SPF记录的报告”
透明度是离不开信任和安全的。
安全是我们的首要任务,为您和我们的客户。
可靠性是我们技术的支柱。
隐私正成为企业最关心的问题。
错误的猎人因为发现缺陷而得到奖励。
报告是我们发布安全漏洞的地方。

产品

10bet手机中文版

信任中心

找到我们