Dimar FZC LLC
Flamingo Villas A-32-01-05-03 25314 United Arab Emirates, Ajman
+971585072431, https://smsactivate.s3.eu-central-1.amazonaws.com/assets/img/icons/logo/logo.svg, [email protected]
números SMS
¿No encontró el servicio que necesita?
Seleccionando un servicio

Infraestructura, servicios web, aplicacionesSMS-Activate

Es necesario encontrar vulnerabilidades en la infraestructura, los servicios y las aplicaciones que funcionan con datos privados. Territorio de caza: dominios, aplicaciones móviles y de escritorio.
Informar de un error
bug-hunter-image

Reglas para participar en el programa Bug Bounty

¡Bienvenido al programa Bug Bounty! Su participación ayuda a mejorar la seguridad de nuestros productos y servicios. Por favor, revise las siguientes directrices para garantizar una colaboración eficaz y ética

Registro y Verificación

  • Registro: Para participar en el programa debes registrarte en la página web sms-activate.io Durante el proceso de registro, indique su cuenta de Telegram para simplificar la comunicación;
  • Verificación: Para recibir pagos, debe pasar por el proceso de verificación. Se le enviarán instrucciones detalladas a través de Telegram después de que se apruebe su informe.

Presentación de informes

  • Familiarización con las reglas: Antes de enviar su informe, lea las reglas de participación y los tipos de vulnerabilidades aceptadas para su consideración;
  • Formulario de informe: usa el formulario en la pagina sms-activate.io/bugBountyForm para enviar un informe. Su informe debe contener una descripción clara de la vulnerabilidad, los pasos para reproducirla, evidencia (capturas de pantalla, videos) y recomendaciones para remediarla;
  • Archivos adicionales: si es necesario, adjunte archivos adicionales para confirmar la vulnerabilidad;

Proceso de revisión de informes

Nuestros analistas de seguridad revisarán cuidadosamente su informe. Este proceso puede tardar hasta tres meses. Durante este tiempo, el informe puede recibir uno de los siguientes estados: "en revisión", "ordenado", "rechazado por el moderador", "se requiere más información" y otros.

Categorías de vulnerabilidad

EN Encontrará una lista de tipos de vulnerabilidades que no son elegibles para recompensas. EN Se indican los criterios para evaluar la criticidad de la vulnerabilidad.

Verificación y confidencialidad

Todos los datos personales que usted proporcione para su verificación se utilizarán únicamente con fines de identificación y no se transferirán a terceros sin su consentimiento. Hacemos todo lo posible para garantizar la privacidad y seguridad de su información.

Pagos

Después de una verificación exitosa y confirmación de la vulnerabilidad, se le ofrecerá una recompensa. El monto de la recompensa se determina en función de la criticidad de la vulnerabilidad y la calidad del informe proporcionado.

Ética

Esperamos que los miembros actúen de manera responsable y ética. No está permitido utilizar vulnerabilidades encontradas para causar daños, obtener acceso no autorizado a datos o sistemas, o difundir información sobre la vulnerabilidad hasta que se solucione.

Conclusión

Valoramos su contribución a la mejora de la seguridad de nuestros productos y servicios. Su participación ayuda a crear un espacio digital más seguro para todos nosotros.
¡Buena suerte encontrando vulnerabilidades! Sus contribuciones son invaluables y apreciamos su ayuda para mantener nuestros sistemas seguros.

Apéndice A

Tipos de vulnerabilidades por las que no se paga (vulnerabilidades de bajo nivel que no tienen consecuencias críticas si se explotan, incluidas):
  • IDOR (los informes sobre este tipo de vulnerabilidad se aceptan solo en caso de un alto nivel de criticidad; el nivel de criticidad lo determina nuestro especialista al confirmar la presencia de una vulnerabilidad);
  • Cualquier tipo de vulnerabilidad XSS, además de Stored XSS (se aceptan informes sobre vulnerabilidades de Stored XSS dependiendo de la importancia del recurso web);
  • Clickjacking;
  • Insecure Redirect URI;
  • Listado de directorio habilitado (contraseñas, copias de seguridad) y Sensitive data exposure (dependiendo de los datos divulgados; se aceptan informes sobre esta vulnerabilidad si se detectan datos críticos);
  • debug mode habilitado, que no revela datos críticos;
  • Vulnerabilidades CSRF encontrado en funcionalidad que no es crítica;
  • Ampliando el panel de administración (si el cazador de errores encuentra el panel de administración, pero no puede apoderarse de la cuenta ni obtener otra información crítica);
  • User Enumeration sin revelar datos sensibles;
  • Security Misconfiguration, en ausencia de pruebas de la ejecución de la amenaza;
  • Negación de servicio;
  • Correo basura;
  • Ingeniería social, dirigido contra empleados, contratistas o clientes;
  • Cualquier intento físico de obtener acceso a la propiedad o a los centros de datos.
  • El propietario del sistema;
  • Informar utilizando herramientas y escaneos automatizados;
  • Errores en software de terceros;
  • Sin encabezados de seguridad que no conduzcan directamente a la vulnerabilidad;
  • Violación de confianza SSL/TLS;
  • Vulnerabilidades que solo afectan a usuarios de navegadores y plataformas heredados o no propietarios;
  • Políticas de recuperación de contraseñas y cuentas, como la fecha de vencimiento del enlace de restablecimiento o la complejidad de la contraseña;
  • Registro DNS desactualizado, apuntando a un sistema que no es propiedad del propietario del sistema.

Contenido

apéndice B

Tipos de vulnerabilidades por nivel de gravedad:
Vulnerabilidad
Bajo
Promedio
Alto
Path Traversal
10
40
70
Listado de directorio habilitado
10
40
Insecure Redirect URI
5
10
Clickjacking
5
Fuerza bruta
5
Inyección SQL (base de datos vacía, base de datos útil)
10
40
70
Inyección de entidad externa XML
50
70
Inclusión de archivos locales
50
Ejecución remota de código
10
50
100
Omisión de autenticación
50
90
Account Takeover
50
90
Insecure Direct Object References
10
Stored XSS
20-30
Reflected XSS
10-20
Server-Side Request
40-60
Cross-Site Request Forgery
10-20
Race Condition
10
90
Server-Side Template Injection
20
80
Path Traversal
Bajo
10
Promedio
40
Alto
70
Listado de directorio habilitado
Bajo
10
Promedio
40
Alto
Insecure Redirect URI
Bajo
5
Promedio
10
Alto
Clickjacking
Bajo
5
Promedio
Alto
Fuerza bruta
Bajo
5
Promedio
Alto
Inyección SQL (base de datos vacía, base de datos útil)
Bajo
10
Promedio
40
Alto
70
Inyección de entidad externa XML
Bajo
Promedio
50
Alto
70
Inclusión de archivos locales
Bajo
Promedio
50
Alto
Ejecución remota de código
Bajo
10
Promedio
50
Alto
100
Omisión de autenticación
Bajo
Promedio
50
Alto
90
Account Takeover
Bajo
Promedio
50
Alto
90
Insecure Direct Object References
Bajo
10
Promedio
Alto
Stored XSS
Bajo
20-30
Promedio
Alto
Reflected XSS
Bajo
10-20
Promedio
Alto
Server-Side Request
Bajo
Promedio
40-60
Alto
Cross-Site Request Forgery
Bajo
10-20
Promedio
Alto
Race Condition
Bajo
10
Promedio
Alto
90
Server-Side Template Injection
Bajo
20
Promedio
Alto
80

Las puntuaciones para los niveles de criticidad de la vulnerabilidad se otorgan de la siguiente manera:

  1. Para un nivel bajo de criticidad – de 0 a 30 puntos;
  2. Para el nivel medio de criticidad: de 31 a 60 puntos;
  3. Para un alto nivel de criticidad: de 61 a 100 puntos.
  • sms-activate.io
  • hstock.org
  • ipkings.io

Remuneración

El tamaño de la recompensa depende de la criticidad de la vulnerabilidad, la facilidad de su explotación y el impacto en los datos del usuario. La decisión sobre el nivel de criticidad a menudo se toma conjuntamente con los desarrolladores, y esto puede llevar algún tiempo.
Vulnerabilidad
Remuneración
Remote Code Execution (RCE)
$1500 - $5000
Local files access y más (LFR, RFI, XXE)
$500 - $3000
Inyección
$500 - $3000
Secuencias de comandos entre sitios (XSS), excluyendo Self-XSS
$100 - $500
SSRF excepto ciegos
$300 - $1000
SSRF ciego
$100 - $500
Fugas de memoria / IDORs / Divulgación de información con datos personales protegidos o información confidencial del usuario
$70 - $1150
Otras vulnerabilidades confirmadas
Depende de la criticidad
Participan todas las aplicaciones SMS-Activate que se ocupan de los datos del usuario. Nuestras aplicaciones se pueden encontrar en Google Play y App Store por nombre SMS-Activar

Aplicaciones

Vulnerabilidad
Remuneración
Remote Code Execution (RCE)
$1500 - $5000
Local files access y más (LFR, RFI, XXE)
$500 - $3000
Inyección
$500 - $3000
SSRF excepto ciegos
$300 - $1000
SSRF ciego
$100 - $500
Fugas de memoria / IDORs / Divulgación de información con datos personales protegidos o información confidencial del usuario
$70 - $1150
Cross-Site Request Forgery (СSRF, Flash crossdomain requests, CORS)
$35 — $300
Otras vulnerabilidades confirmadas
Depende de la criticidad

{{ texts.verificationVoiceTextFirst }}

{{ texts.verificationVoiceTextSecond }}

{{ texts.verificationVoiceTextThird }}