Dimar FZC LLC
Flamingo Villas A-32-01-05-03 25314 United Arab Emirates, Ajman
+971585072431, https://smsactivate.s3.eu-central-1.amazonaws.com/assets/img/icons/logo/logo-9-years.svg, [email protected]

猎虫

您需要在使用私有数据的基础架构、服务和应用程序中找到漏洞。 狩猎领域:域,移动和桌面应用程序。

  • sms-activate.org
  • hstock.org
  • proxy.sms-activate.org

奖励计划

报酬的数额取决于漏洞的严重程度、操作的容易程度和对用户数据的影响。 关键性水平的决定通常是与开发人员共同做出的,这可能需要一些时间。

脆弱性奖项
Remote code execution (RCE)$1500 - $5000
Local files access 和其他 ((LFI, RFI, XXE)$500 - $3000
注射剂$500 - $3000
Cross-Site Scripting (XSS), 不包括 self-XSS$100 - $500
SSRF, 除了盲人$300 - $1000
瞎子 SSRF$100 - $500
内存泄漏/IDORs/使用受保护的个人数据或机密用户信息披露信息$70 - $1150
其他已确认的漏洞取决于临界性

涉及处理用户数据的所有 SMS-Activate 应用程序。 我们的应用程序可以在 Google Play и App Store 按姓名 SMS-Activate

移动应用程序

报酬的数额取决于漏洞的严重程度、操作的容易程度和对用户数据的影响。 关键性水平的决定通常是与开发人员共同做出的,这可能需要一些时间。

脆弱性奖项
Remote code execution (RCE)$1500 - $5000
Local files access 和其他 ((LFI, RFI, XXE)$500 - $3000
注射剂$500 - $3000
SSRF, 除了盲人$300 - $1000
瞎子 SSRF$100 - $500
内存泄漏/IDORs/使用受保护的个人数据或机密用户信息披露信息$70 - $1150
Cross-Site Request Forgery (СSRF, Flash crossdomain requests, CORS)$35 — $300
其他已确认的漏洞取决于临界性

程序的例外情况

SMS-Activate 不支付报酬:

  • 安全扫描仪和其他自动化工具的报告 ;
  • 非关键信息的披露,例如软件名称或其版本 ;
  • 公开用户信息的披露;
  • 基于所用产品版本的问题和漏洞,没有演示操作 ;
  • 有关IP地址、DNS记录和开放端口的信息SMS-Activate ;
  • TLS中的零日错误消息;
  • 关于不安全的SSL/TLS密码的报告,无需演示操作 ;
  • 缺乏SSL和其他BCP(当前最佳实践);
  • 对SMS-Activate属性或其数据中心的物理攻击 ;
  • 缺乏安全机制而没有演示可能影响用户数据的利用的问题。 例如,没有CSRF令牌,点击劫持等。 ;
  • Login/Logout CSRF 或其他对安全没有证明影响的行动 ;
  • 打开重定向,但除非问题影响服务的安全性,例如,允许您窃取用户身份验证令牌。 有了这个问题,你就有资格被添加到名人堂 ;
  • Excel和CSV配方注射;
  • 域上没有CSP策略或不安全的CSP配置 ;
  • XSS和CSRF,这需要用户的额外操作。 只有当它们影响敏感的用户数据时,才会支付报酬,并且在转到专门生成的页面时会立即触发,而不需要用户的额外操作 ;
  • XSS,这需要引入或伪造一些头,例如,Host,User-Agent,Referer,Cookie等。 ;
  • Tabnabbing — target="_blank" 在没有经过验证的安全影响的链接中 ;
  • Content spoofing, content injection或text injection 没有经过验证的安全影响 ;
  • 不敏感的cookie上没有标志;
  • 自动填充属性在web窗体上的存在;
  • 没有速率限制,没有经过验证的安全影响;
  • 是否存在SPF和DKIM记录;
  • 使用已知的易受攻击的库而不演示剥削 ;
  • 需要使用社会工程技术来利用的问题,网络钓鱼报告 ;
  • 员工或承包商的社会工程SMS-activate.org ;
  • 如果用户数据不受影响,则合作伙伴服务中的漏洞SMS-activate.org ;
  • 关于密码或密码策略和其他用户身份验证数据漏洞的消息 ;
  • 需要root权限的移动设备上的漏洞,越狱以及应用程序或设备的任何其他修改被利用 ;
  • 披露具有限制或缝入apk的访问密钥,并且不允许访问个人数据 ;
  • 仅影响过时或易受攻击的浏览器和平台的用户的漏洞 ;
  • 需要对用户设备进行物理访问的攻击;
  • 可以反编译或使用反向应用程序开发的事实 ;

使用于在需要输入来电号码的末尾数字以通过验证的服务中进行登记的功能。

号码为 5 分钟时间提供给你。在此期间你需要在需要通过验证的服务中输入该号码。然后,验证码显示在 SMS-Activate 的 "激活" 页面上。如果你在激活过程中遇到问题,请在 5 分钟到期前取消号码。

如果你购买了这项服务,可以在 20 分钟内无限量接收发送到所购买号码的短信。验证功能为所有服务以优惠价格提供的。

*只能收到1个号码。如果您收到来电和确认号码,则无法退款。

{{ texts.verificationVoiceTextFirst }}

{{ texts.verificationVoiceTextSecond }}

{{ texts.verificationVoiceTextThird }}