SMS-ACTIVATE
Browser
- sms-activate.org
- hstock.org
- proxy.sms-activate.org
奖励计划
报酬的数额取决于漏洞的严重程度、操作的容易程度和对用户数据的影响。 关键性水平的决定通常是与开发人员共同做出的,这可能需要一些时间。
脆弱性奖项
Remote code execution (RCE)$1500 - $5000
Local files access 和其他 ((LFI, RFI, XXE)$500 - $3000
注射剂$500 - $3000
Cross-Site Scripting (XSS), 不包括 self-XSS$100 - $500
SSRF, 除了盲人$300 - $1000
瞎子 SSRF$100 - $500
内存泄漏/IDORs/使用受保护的个人数据或机密用户信息披露信息$70 - $1150
其他已确认的漏洞取决于临界性
涉及处理用户数据的所有 SMS-Activate 应用程序。 我们的应用程序可以在 Google Play и App Store 按姓名 SMS-Activate
移动应用程序
报酬的数额取决于漏洞的严重程度、操作的容易程度和对用户数据的影响。 关键性水平的决定通常是与开发人员共同做出的,这可能需要一些时间。
脆弱性奖项
Remote code execution (RCE)$1500 - $5000
Local files access 和其他 ((LFI, RFI, XXE)$500 - $3000
注射剂$500 - $3000
SSRF, 除了盲人$300 - $1000
瞎子 SSRF$100 - $500
内存泄漏/IDORs/使用受保护的个人数据或机密用户信息披露信息$70 - $1150
Cross-Site Request Forgery (СSRF, Flash crossdomain requests, CORS)$35 — $300
其他已确认的漏洞取决于临界性
程序的例外情况
SMS-Activate 不支付报酬:
- 安全扫描仪和其他自动化工具的报告 ;
- 非关键信息的披露,例如软件名称或其版本 ;
- 公开用户信息的披露;
- 基于所用产品版本的问题和漏洞,没有演示操作 ;
- 有关IP地址、DNS记录和开放端口的信息SMS-Activate ;
- TLS中的零日错误消息;
- 关于不安全的SSL/TLS密码的报告,无需演示操作 ;
- 缺乏SSL和其他BCP(当前最佳实践);
- 对SMS-Activate属性或其数据中心的物理攻击 ;
- 缺乏安全机制而没有演示可能影响用户数据的利用的问题。 例如,没有CSRF令牌,点击劫持等。 ;
- Login/Logout CSRF 或其他对安全没有证明影响的行动 ;
- 打开重定向,但除非问题影响服务的安全性,例如,允许您窃取用户身份验证令牌。 有了这个问题,你就有资格被添加到名人堂 ;
- Excel和CSV配方注射;
- 域上没有CSP策略或不安全的CSP配置 ;
- XSS和CSRF,这需要用户的额外操作。 只有当它们影响敏感的用户数据时,才会支付报酬,并且在转到专门生成的页面时会立即触发,而不需要用户的额外操作 ;
- XSS,这需要引入或伪造一些头,例如,Host,User-Agent,Referer,Cookie等。 ;
- Tabnabbing — target="_blank" 在没有经过验证的安全影响的链接中 ;
- Content spoofing, content injection或text injection 没有经过验证的安全影响 ;
- 不敏感的cookie上没有标志;
- 自动填充属性在web窗体上的存在;
- 没有速率限制,没有经过验证的安全影响;
- 是否存在SPF和DKIM记录;
- 使用已知的易受攻击的库而不演示剥削 ;
- 需要使用社会工程技术来利用的问题,网络钓鱼报告 ;
- 员工或承包商的社会工程SMS-activate.org ;
- 如果用户数据不受影响,则合作伙伴服务中的漏洞SMS-activate.org ;
- 关于密码或密码策略和其他用户身份验证数据漏洞的消息 ;
- 需要root权限的移动设备上的漏洞,越狱以及应用程序或设备的任何其他修改被利用 ;
- 披露具有限制或缝入apk的访问密钥,并且不允许访问个人数据 ;
- 仅影响过时或易受攻击的浏览器和平台的用户的漏洞 ;
- 需要对用户设备进行物理访问的攻击;
- 可以反编译或使用反向应用程序开发的事实 ;