Dimar FZC LLC
Flamingo Villas A-32-01-05-03 25314 United Arab Emirates, Ajman
+971585072431, https://smsactivate.s3.eu-central-1.amazonaws.com/assets/img/icons/logo/logo.svg, [email protected]
适用于短信的号码
没有找到您需要的服务?
选择服务

基础设施、网络服务、SMS-Activate 的应用程序

你需要找到处理私人数据的基础设施、服务和应用程序中的漏洞。狩猎范围:域名、移动和桌面应用程序。
报告错误
bug-hunter-image

参与 Bug Bounty 计划的规则

欢迎参加 Bug Bounty 计划!你的参与有助于提高我们产品和服务的安全性。请阅读以下指南,以确保有效和合乎道德的合作

注册与验证

  • 注册: 要参加该计划,你先需要在网站上注册账户 sms-activate.io 请你在注册过程中提供你的 Telegram 账户,以方便交流;
  • 验证: 你必须通过验证程序才能获取付款。一旦你的报告获得批准,我们通过 Telegram 给你发送详细说明。

提交报告

  • 了解规则: 提交报告之前,请先了解参与规则和可以考虑的漏洞类型;
  • 报告表格: 使用页面上的表格 sms-activate.io/bugBountyForm 为了提交报告。你的报告应包括对漏洞的清晰描述、重现漏洞的步骤、证据(截图、视频)和修复建议;
  • 附加文件: 如有必要,请附上附加文件以确认漏洞;

报告审查过程

我们的安全分析师对你的报告进行详细审查。这一过程可能需要长达三个月的时间。在此期间,报告可能会收到以下状态之一:"待处理中"、"已排序"、"被版主拒绝"、"需要更多信息" 等。

漏洞类型

你可以找到不合适获得奖金条件的漏洞类型列表。在 规定了评估漏洞严重性的标准。

验证与匿名

你为验证目的而提供的所有个人数据仅用于识别目的,未经你的同意不会向第三方提供。我们尽一切努力确保你的数据保密和安全。

付款

在成功验证并确认漏洞后,你获得奖励。奖励金额根据漏洞的严重程度和所提供报告的质量而决定的。

道德标准

我们希望参与者以负责任和合乎道德的方式行事。在漏洞修复之前,不允许利用发现的漏洞造成损害、未经授权访问数据或系统,或传播有关漏洞的信息。

总结

我们重视你对提高我们产品和服务安全性的贡献。你的参与有助于为我们所有人创造一个更安全的数字空间
祝你找到漏洞成功!你的贡献非常宝贵,我们非常感谢你在保护我们的系统安全方面所提供的帮助。

附件 A

不付费的漏洞类型(利用后不会造成严重后果的低级漏洞等):
  • IDOR (只有在高度危急的情况下才会接受关于此类漏洞的报告;危急程度由我们的专家在确认漏洞时确定的);
  • 任何 XSS 漏洞的类型, 除 Stored XSS 以外(是否接受存储 XSS 漏洞报告取决于网络资源的重要性);
  • Clickjacking;
  • Insecure Redirect URI;
  • 已启用目录列表 (密码、备份) 和 Sensitive data exposure (视披露的数据而定;如果发现关键数据,则接受有关此漏洞的报告);
  • 开启的 debug node, 不披露关键数据的;
  • CSRF 漏洞, 在非关键功能中发现的;
  • 披露管理面板 (如果猎手找到了管理面板,但无法捕获账户或获取其他关键信息);
  • User Enumeration 而不泄露关键数据;
  • Security Misconfiguration, 在没有证据表明威胁已经实现的情况下;
  • 拒绝提供服务;
  • 垃圾邮件;
  • 社会工程, 针对工员、承包商或客户;
  • 任何试图进入财产或数据中心的实际企图
  • 系统所有者;
  • 使用自动工具和扫描进行的报告;
  • 第三方软件中的错误;
  • 缺少安全标题 不直接导致漏洞的;
  • SSL / TLS 信任违规;
  • 仅影响过时或非专有浏览器和平台用户的漏洞;
  • 密码和账户恢复政策、 例如重置链接的有效期或密码复杂性;
  • 过期的 DNS 记录、 指向不属于系统所有者的系统。

内容

附件 B

按重要程度划分的漏洞类型:
脆弱性
低级
中级
高级
Path Traversal
10
40
70
已启用目录列表
10
40
Insecure Redirect URI
5
10
Clickjacking
5
暴力破解
5
SQL注入(空数据库、有用数据库)
10
40
70
XML 外部实体注入
50
70
本地文件包含
50
远程代码执行
10
50
100
身份验证绕过
50
90
Account Takeover
50
90
Insecure Direct Object References
10
Stored XSS
20-30
Reflected XSS
10-20
Server-Side Request
40-60
Cross-Site Request Forgery
10-20
Race Condition
10
90
Server-Side Template Injection
20
80
Path Traversal
低级
10
中级
40
高级
70
已启用目录列表
低级
10
中级
40
高级
Insecure Redirect URI
低级
5
中级
10
高级
Clickjacking
低级
5
中级
高级
暴力破解
低级
5
中级
高级
SQL注入(空数据库、有用数据库)
低级
10
中级
40
高级
70
XML 外部实体注入
低级
中级
50
高级
70
本地文件包含
低级
中级
50
高级
远程代码执行
低级
10
中级
50
高级
100
身份验证绕过
低级
中级
50
高级
90
Account Takeover
低级
中级
50
高级
90
Insecure Direct Object References
低级
10
中级
高级
Stored XSS
低级
20-30
中级
高级
Reflected XSS
低级
10-20
中级
高级
Server-Side Request
低级
中级
40-60
高级
Cross-Site Request Forgery
低级
10-20
中级
高级
Race Condition
低级
10
中级
高级
90
Server-Side Template Injection
低级
20
中级
高级
80

漏洞严重性级别的评分如下:

  1. 低级重要性水平为 0 至 30 分;
  2. 中级重要性水平为 31 至 60 分;
  3. 高级重要性水平为 61 至 100 分。
  • sms-activate.io
  • hstock.org
  • ipkings.io

奖励计划

奖励的金额取决于漏洞的严重程度、利用的难易程度以及对用户数据的影响。关键程度通常是与开发者共同决定的,可能需要一些时间。
脆弱性
奖项
Remote Code Execution (RCE)
$1500 - $5000
Local files access 与其他 (LFR, RFI, XXE)
$500 - $3000
注射剂
$500 - $3000
Cross-Site Scripting (XSS), 除了 Self-XSS 以外
$100 - $500
SSRF, 除了盲人
$300 - $1000
瞎子 SSRF
$100 - $500
内存泄漏/IDOR/泄露受保护的个人数据或敏感用户信息
$70 - $1150
其他已确认的漏洞
取决于临界性
涉及处理用户数据的 SMS-Activate 应用程序都参加。我们的应用程序可找到在 Google PlayApp Store 按名称 SMS-Activate

应用

脆弱性
奖项
Remote Code Execution (RCE)
$1500 - $5000
Local files access 与其他 (LFR, RFI, XXE)
$500 - $3000
注射剂
$500 - $3000
SSRF, 除了盲人
$300 - $1000
瞎子 SSRF
$100 - $500
内存泄漏/IDOR/泄露受保护的个人数据或敏感用户信息
$70 - $1150
Cross-Site Request Forgery (СSRF, Flash crossdomain requests, CORS)
$35 — $300
其他已确认的漏洞
取决于临界性

{{ texts.verificationVoiceTextFirst }}

{{ texts.verificationVoiceTextSecond }}

{{ texts.verificationVoiceTextThird }}