Programme de Primes

Si vous avez trouvé une vulnérabilité de sécurité sur ZAFUL, nous vous encourageons à nous contacter immédiatement. Nous examinerons tous les rapports de vulnérabilité légitimes et ferons de notre mieux pour résoudre rapidement le problème. Avant de signaler, veuillez consulter ce document, y compris le principe de base, la prime programme, directives de récompense, et ce qui ne devrait pas être signalé.

Principe de base

Si vous respectez les principes ci-dessous lorsque vous signalez un problème de sécurité à ZAFUL, nous n'engagerons pas de poursuite ou d'enquête d'application de la loi contre vous en réponse à votre rapport. Nous demandons que:

1.Vous nous donnez un délai raisonnable pour examiner et réparer un problème que vous signalez avant de rendre publiques des informations sur le rapport ou de partager ces informations avec d'autres.

2.Vous n'interagissez pas avec un compte individuel (ce qui inclut la modification ou l'accès aux données du compte) si le propriétaire du compte n'a pas consenti à de telles actions.

3.Vous faites un effort de bonne foi pour éviter les violations de la vie privée et les perturbations pour les autres, y compris (mais sans s'y limiter) la destruction des données et l'interruption ou la dégradation de nos services.

4.Vous n'exploitez pas un problème de sécurité que vous découvrez pour quelque raison que ce soit. (Cela inclut la démonstration de risques supplémentaires, tels que la tentative de compromission de données sensibles de l'entreprise ou la recherche de problèmes supplémentaires.)

5.Vous ne violez aucune autre loi ou réglementation applicable.

Programme de primes

1. Adhérez à notre principe de base (voir ci-dessus).

2. Signaler un bug de sécurité: c'est-à-dire identifier une vulnérabilité dans nos services ou notre infrastructure qui crée un risque de sécurité ou de confidentialité. (Notez que ZAFUL détermine finalement le risque d'un problème et que de nombreux bogues ne sont pas des problèmes de sécurité.)

3. Soumettez votre rapport via notresecurity@zaful.com.Veuillez ne pas contacter les employés

4.Si vous causez par inadvertance une violation ou une perturbation de la vie privée (comme l'accès aux données de compte, aux configurations de service ou à d'autres informations confidentielles) lors de l'enquête sur un problème, assurez-vous de le signaler dans votre rapport.

5.Nous enquêtons et répondons à tous les rapports valides dès que possible. En raison du volume de rapports que nous recevons, cependant, nous priorisons les évaluations en fonction des risques et d'autres facteurs, il faudra 5 jours ouvrables avant de recevoir une réponse.

6.Nous nous réservons le droit de publier des rapports.

Rewards

Nos récompenses sont basées sur l'impact d'une vulnérabilité. Nous mettrons à jour le programme au fil du temps en fonction des commentaires, veuillez donc nous faire part de vos commentaires sur toute partie du programme que vous pensez pouvoir améliorer.

1. veuillez fournir des rapports détaillés avec des étapes reproductibles. Si le rapport n'est pas suffisamment détaillé pour reproduire le problème, le problème ne sera pas éligible à la prime.

2.Lorsque des doublons se produisent, nous attribuons le premier rapport que nous pouvons reproduire complètement.

3. Plusieurs vulnérabilités causées par un problème sous-jacent recevront une prime.

4.Nous déterminons la récompense de prime en fonction de divers facteurs, y compris (mais sans s'y limiter) l'impact, la facilité d'exploitation et la qualité du rapport. Nous notons spécifiquement les récompenses de primes, celles-ci sont répertoriées sous.

5.Les montants ci-dessous sontle maximum nous paierons par niveau. Nous visons à être justes, tous les montants des récompenses sont à notre discrétion.

Critical severity Vulnerabilities ($200): Les vulnérabilités qui provoquent une élévation de privilèges sur la plate-forme de non privilégiés à admin, permettent l'exécution de code à distance, le vol financier, etc. Exemples:

·Exécution de code à distance

·Shell à distance / exécution de commandes

·Contournement d'authentification vertical

·Injection SQL qui fuit des données ciblées

·Obtenez un accès complet aux comptes

Vulnérabilités de gravité élevée ($100): Vulnérabilités qui affectent la sécurité de la plateforme, y compris les processus qu'elle prend en charge. Exemples:

·Contournement d'authentification latéral

·Divulgation d'informations importantes au sein de l'entreprise

·Contournement d'authentification vertical

·XSS stocké pour un autre utilisateur

·Traitement non sécurisé des cookies d'authentification

Vulnérabilités de gravité moyenne($50): Vulnérabilités qui affectent plusieurs utilisateurs et nécessitent peu ou pas d'interaction utilisateur pour se déclencher. Exemples:

·Failles communes de conception logique et défauts de processus métier

·Divulgation d'informations importantes au sein de l'entreprise

·Références d'objets directs non sécurisées

Vulnérabilités de faible gravité (AUCUN): Problèmes qui affectent des utilisateurs singuliers et nécessitent une interaction ou des conditions préalables importantes (MITM) pour se déclencher. Exemples:

·Redirection ouverte

·XSS réfléchissant

·Faible sensibilité Fuites d'informations