1/4
Для получения виртуального номера пополните баланс личного кабинета. Нажмите на «0.00 ₽» в правой верхней части сайта.
Мультисервис ?
ВЫБЕРИТЕ СТРАНУ
ВЫБЕРИТЕ ОПЕРАТОРА
Сервис Цена опт/розница

Нажимая кнопку "Купить" Вы подтверждаете согласие с правилами проекта

Необходимо зарегистрироваться или авторизоваться
ВЫБОР СЕРВИСА
Не нашли новый сервис?

Нажимая кнопку "Купить" Вы подтверждаете согласие с правилами проекта

Необходимо зарегистрироваться или авторизоваться
Верификация по номеру ?
ВЫБЕРИТЕ СТРАНУ
(у нас )
ВЫБЕРИТЕ ОПЕРАТОРА
Сервис Цена опт/розница

Нет избранных

Нажимая кнопку "Купить" Вы подтверждаете согласие с правилами проекта

Охота за ошибками

Вам нужно найти уязвимости в инфраструктуре, сервисах и приложениях, которые работают с приватными данными. Территория охоты: домены, мобильные и десктопные приложения.

  • sms-activate.org
  • hstock.org
  • proxy.sms-activate.org

Вознаграждения

Размер вознаграждения зависит от критичности уязвимости, простоты её эксплуатации и воздействию на данные пользователей. Решение об уровне критичности часто принимается совместно с разработчиками, и это может занимать какое-то время.

УязвимостьВознаграждение
Remote code execution (RCE)$1500 - $5000
Local files access и другое. (LFR, RFI, XXE)$500 - $3000
Инъекции$500 - $3000
Cross-Site Scripting (XSS), исключая self-XSS$100 - $500
SSRF, кроме слепых$300 - $1000
Слепая SSRF$100 - $500
Утечки памяти / IDORs / Раскрытие информации с защищенными личными данными или конфиденциальной информацией пользователя$70 - $1150
Другие подтвержденные уязвимостиЗависит от критичности

Участвуют все приложения SMS-Activate, которые имеют дело с пользовательскими данными. Наши приложения можно найти в Google Play и App Store по названию SMS-Activate

Мобильные приложения

Размер вознаграждения зависит от критичности уязвимости, простоты её эксплуатации и воздействию на данные пользователей. Решение об уровне критичности часто принимается совместно с разработчиками, и это может занимать какое-то время.

УязвимостьВознаграждение
Remote code execution (RCE)$1500 - $5000
Local files access и другое. (LFR, RFI, XXE)$500 - $3000
Инъекции$500 - $3000
SSRF, кроме слепых$300 - $1000
Слепая SSRF$100 - $500
Утечки памяти / IDORs / Раскрытие информации с защищенными личными данными или конфиденциальной информацией пользователя$70 - $1150
Cross-Site Request Forgery (СSRF, Flash crossdomain requests, CORS)$35 — $300
Другие подтвержденные уязвимостиЗависит от критичности

Исключения из программы

SMS-Activate не выплачивает вознаграждение за:

  • отчеты сканеров безопасности и других автоматизированных инструментов;
  • раскрытие не критичной информации, такой как наименование программного обеспечения или его версии;
  • раскрытие публичной пользовательской информации;
  • проблемы и уязвимости, которые основаны на версии используемого продукта, без демонстрации эксплуатации;
  • информацию об IP-адресах, DNS-записях и открытых портах SMS-Activate;
  • сообщения об ошибках нулевого дня в TLS;
  • отчеты о небезопасных шифрах SSL/TLS без демонстрации эксплуатации;
  • отсутствие SSL и других BCP (best current practice);
  • физические атаки на собственность SMS-Activate или его дата-центры;
  • проблемы отсутствия механизмов безопасности без демонстрации эксплуатации, которая может затронуть данные пользователей. Например, отсутствие CSRF-токенов, Clickjacking и т. д.;
  • Login/Logout CSRF или других действий без доказанного влияния на безопасность;
  • открытые перенаправления, но если только проблема не влияет на безопасность сервиса, например, позволяет украсть пользовательский аутентификационный токен. С этой проблемой вы можете претендовать на добавление в Зал Славы;
  • инъекции формул Excel и CSV;
  • отсутствие CSP-политик на домене или небезопасная конфигурация CSP;
  • XSS и CSRF, которые требуют дополнительных действий от пользователя. Вознаграждение выплачивается, только если они затрагивают чувствительные данные пользователя и срабатывают сразу при переходе на специально сформированную страницу, не требуя от пользователя дополнительных действий;
  • XSS, которая требует внедрения или подделки какого-либо заголовка, например, Host, User-Agent, Referer, Cookie и т. д.;
  • Tabnabbing — target="_blank" в ссылках без доказанного влияния на безопасность;
  • Content spoofing, content injection или text injection без доказанного влияния на безопасность;
  • отсутствие флагов на нечувствительных файлах cookie;
  • наличие атрибута автозаполнения на веб-формах;
  • отсутствие Rate Limit без доказанного влияния на безопасность;
  • наличие или отсутствие записей SPF и DKIM;
  • использование известной уязвимой библиотеки без демонстрации эксплуатации;
  • проблемы, для эксплуатации которых требуется использование техник социальной инженерии, сообщений о применении фишинга;
  • социальную инженерию сотрудников или подрядчиков SMS-activate.org;
  • уязвимости в партнерских сервисах, если не затронуты данные пользователей SMS-activate.org;
  • сообщения об уязвимости паролей или парольных политик и других аутентификационных данных пользователей;
  • уязвимости на мобильных устройствах, которые для эксплуатации требуют наличие root-привилегий, jailbreak и любой другой модификации приложений или устройств;
  • раскрытие Access keys, которые имеют ограничения или зашитые в.apk и не дают доступа к персональным данным;
  • уязвимости, которые затрагивают только пользователей устаревших или уязвимых браузеров и платформ;
  • атаки, требующие физического доступа к устройству пользователя;
  • факт наличия возможности декомпиляции или использования обратной разработки приложений;