SnortPay-Bug Bounty-Programm – SnortPay

Zusammenfassung

Ö Wenn Sie ein Sicherheitsproblem feststellen, haben Sie Anspruch auf eine Belohnung, sofern Sie diese direkt an uns melden

o Die Belohnung wird auf der Schwere des Problems basieren (mindestens £ 1000 versichert)

Ö Senden Sie eine Beschreibung des Problems sowie Einzelheiten zur Reproduktion an: support@snortpay.com

Helfen Sie uns, SnortPay weiter zu sichern!

SnortPay lädt unabhängige Sicherheitsgruppen oder einzelne Forscher ein, es plattformübergreifend zu untersuchen und uns dabei zu helfen, es für unsere Kunden noch sicherer zu machen. Bitte machen Sie uns auf mögliche Sicherheitslücken aufmerksam. Wir würden Sie angemessen für Ihre Bemühungen in Kryptowährungen belohnen. Obwohl wir die Meldung von Nicht-Sicherheitsproblemen begrüßen, beachten Sie bitte, dass nur echte Sicherheitsprobleme belohnt werden können und wir möglicherweise nicht in der Lage sind, auf Nicht-Sicherheitsprobleme zu reagieren. Senden Sie eine detaillierte Beschreibung an support@snortpay.com

Richtlinien

Von allen Forschern wird erwartet, dass:

o Melden Sie ihre Ergebnisse, indem Sie uns direkt an schreiben support @ snortpaycom ohne irgendwelche Informationen öffentlich zu machen. Wir werden den Eingang innerhalb von 24 Arbeitsstunden nach Einreichung bestätigen.

o Bewahren Sie die Informationen zu Sicherheitslücken, die Sie zwischen SnortPay und Ihnen entdeckt haben, vertraulich auf, bis wir das Problem behoben haben.

o Abhängig von der Kritikalitätsstufe kann es 3 Tage bis 1 Woche dauern, bis die Sicherheitsanfälligkeit behoben ist.

o Die Offenlegung der Sicherheitsanfälligkeit gegenüber öffentlichen, sozialen Medien oder Dritten führt zur Sperrung der SnortPay Bug Bounty- und Secure SnortPay Reward-Programme.

o Bitte bemühen Sie sich, Datenschutzverletzungen, eine Verschlechterung der Benutzererfahrung, eine Störung der Produktionssysteme und die Zerstörung von Daten während der Sicherheitstests zu vermeiden.

o Führen Sie Recherchen nur im folgenden begrenzten Umfang durch. Wenn Sie diese Richtlinien befolgen, wenn Sie uns ein Problem melden, verpflichten wir uns:

o Arbeiten Sie mit Ihnen zusammen, um das Problem schnell zu verstehen und zu beheben

o Belohnen Sie Ihre Bemühungen angemessen

o Keine rechtlichen Schritte im Zusammenhang mit Ihrer Forschung verfolgen oder unterstützen

Umfang

Ö Webseite: https://SnortPay.com

Ö Eigenschaften außerhalb des Bereichs: Jede Subdomain, die nicht mit SnortPay.com verbunden ist.

Ö Qualifizierende Sicherheitslücken

Jedes Design- oder Implementierungsproblem, das die Vertraulichkeit oder Integrität von Benutzerdaten erheblich beeinträchtigt, fällt wahrscheinlich in den Anwendungsbereich des Programms. Häufige Beispiele sind:

o Cross-Site Scripting (XSS)

o Cross-Site Request Forgery (CSRF)

o Serverseitige Anforderungsfälschung (SSRF)

o SQL Injection

o Serverseitige Remotecodeausführung (RCE)

o XML-Angriffe auf externe Entitäten (XXE)

o Probleme mit der Zugriffssteuerung (Probleme mit unsicheren direkten Objektreferenzen, Eskalation von Berechtigungen usw.)

o Freigegebene Verwaltungsbereiche, für die keine Anmeldeinformationen erforderlich sind

o Probleme beim Durchlaufen des Verzeichnisses

o Local File Disclosure (LFD) und Remote File Inclusion (RFI)

o Zahlungsmanipulation

o Ein Fehler bei der Integration von Drittanbietern, um kostenlose Bestellungen bei SnortPay-Händlern zu tätigen

o Serverseitige Fehler bei der Codeausführung

Nicht qualifizierende Sicherheitslücken

Ö Open-Redirects: 99% der offenen Weiterleitungen haben Auswirkungen auf die Sicherheit. Für die seltenen Fälle, in denen die Auswirkung höher ist, z. B. das Stehlen von Eidmarken, möchten wir immer noch davon hören.

o Berichte, die besagen, dass Software ohne „Proof of Concept“ veraltet / anfällig ist.

o Probleme mit dem Host-Header ohne zugehörigen POC, der die Sicherheitsanfälligkeit anzeigt.

o XSS-Probleme, die nur veraltete Browser betreffen.

o Stapeln Sie Traces, die Informationen offenlegen.

o Clickjacking und Probleme, die nur durch Clickjacking ausgenutzt werden können.

o Best Practices betreffen.

o Hochspekulative Berichte über theoretische Schäden. Sei konkret.

o Self-XSS, das nicht zum Ausnutzen anderer Benutzer verwendet werden kann.

o Sicherheitslücken, die von automatisierten Tools gemeldet werden, ohne zusätzliche Analyse, wie sie ein Problem darstellen.

o Berichte von automatisierten Web-Schwachstellenscannern (Acunetix, Burp Suite, Vega usw.), die nicht validiert wurden.

o Denial-of-Service-Angriffe.

o Brute-Force-Angriffe

o Reflected File Download (RFD).

o Physische oder Social-Engineering-Versuche (dies schließt Phishing-Angriffe gegen Mitarbeiter von SnortPay und SnortCloudteck Cybersecurity Solutions ein).

o Probleme mit der Inhaltsinjektion.

o Cross-Site Request Forgery (CSRF) mit minimalen Sicherheitsauswirkungen (Logout CSRF usw.)

o Fehlende Attribute für die automatische Vervollständigung.

o Fehlende Cookie-Flags bei nicht sicherheitsrelevanten Cookies.

o Probleme, die physischen Zugriff auf den Computer eines Opfers erfordern.

o Fehlende Sicherheitsheader, die keine unmittelbare Sicherheitslücke darstellen.

o Betrugsprobleme.

o Empfehlungen zur Sicherheitsverbesserung.

o SSL / TLS-Scanberichte (dies bedeutet Ausgabe von Sites wie SSL Labs).

o Probleme beim Aufnehmen von Bannern (Herausfinden, welchen Webserver wir verwenden usw.).

o Öffnen Sie Ports ohne zugehörigen POC, der die Sicherheitsanfälligkeit anzeigt

o Kürzlich offenbarte Sicherheitslücken. Wir brauchen Zeit, um unsere Systeme wie alle anderen zu patchen. Bitte geben Sie uns zwei Wochen Zeit, bevor Sie diese Art von Problemen melden.

o Betreten der Cybersicherheitsbüros von SnortPay und Snortcloudteck und Entführung eines verlassenen Terminals auf einer entsperrten Workstation, während die Mitarbeiter abgelenkt sind.

Nicht qualifizierende Sicherheitslücken – Mobile Apps

o Gemeinsame Links sind durch die Zwischenablage des Systems gelangt.

o Alle URIs sind durchgesickert, weil eine böswillige App die Berechtigung hat, geöffnete URIs anzuzeigen

o Keine Befestigung des Zertifikats

o Vertrauliche Daten in URLs / Anforderungskörpern, wenn sie durch TLS geschützt sind

o Benutzerdaten unverschlüsselt im externen Speicher und im privaten Verzeichnis gespeichert.

o Mangelnde Verschleierung ist nicht möglich

o Abstürze aufgrund fehlerhafter Absichten, die an exportierte Aktivitäten / Dienste / Rundfunkempfänge gesendet wurden (diese werden häufig für das Auslaufen sensibler Daten ausgenutzt) und aufgrund fehlerhafter URL-Schemata

o Fehlende binäre Schutzkontrolle in der Android App

o Fehlende Exploit-Abschwächungen, d. h. PIE-, ARC- oder Stapelkanarien

o Pfadangabe in der Binärdatei

o Leckage von Schnappschuss / Pappe

Kommunikation von SnortPay

Wir bitten die Sicherheitsforscher, uns die Möglichkeit zu geben, eine Sicherheitsanfälligkeit zu korrigieren, und sollten sie nicht öffentlich bekannt geben. Bitte senden Sie eine detaillierte Beschreibung des Problems und der Schritte, von denen Sie glauben, dass sie erforderlich sind, um Ihre Beobachtungen zu reproduzieren. Bitte bemühen Sie sich nach Treu und Glauben, die Privatsphäre und Daten unserer Benutzer zu schützen. Wir verpflichten uns, Sicherheitsprobleme verantwortungsbewusst und zeitnah anzugehen.

Belohnung

Die monetären Belohnungen für jeden gültigen Sicherheitsfehler basieren auf der Kritikalität des Problems und können nur in Form von Kryptowährungen Ihrem SnortPay-Portemonnaie gutgeschrieben werden. Die minimale Geldprämie beträgt jedoch 1000 indische Rupien.

Berichtsformat

Wenn Sie der Meinung sind, dass Sie in einem unserer Produkte oder Plattformen eine Sicherheitslücke gefunden haben, senden Sie diese bitte per E-Mail an support@snortpay.com. Bitte nehmen Sie die folgenden Details in Ihren Bericht auf:

Ö Beschreibung des Standorts und mögliche Auswirkungen der Sicherheitsanfälligkeit: Eine detaillierte Beschreibung der Schritte, die zur Reproduktion der Sicherheitsanfälligkeit erforderlich sind – POC-Skripte, Screenshots und komprimierte Screenshots – sind für uns hilfreich