1/4
Para obtener un número virtual, recargue el saldo de su cuenta personal. Haga clic en "0.00 ₽"en la parte superior derecha del sitio.
  • lang icon
    Español
  • lang icon
    English
  • lang icon
    Русский
  • lang icon
    中國
Free Price
Free price
Usamos cookies

Es seguro: las cookies solo se almacenan en su dispositivo. Si no le importa, haga clic en "Aceptar todas las cookies" o continúe navegando por el sitio. Política de tratamiento de datos personales.

Caza de errores

Debe encontrar vulnerabilidades en la infraestructura, los servicios y las aplicaciones que trabajan con datos privados. Territorio de caza: dominios, aplicaciones móviles y de Escritorio.

  • sms-activate.org
  • hstock.org
  • proxy.sms-activate.org

Remuneración

La recompensa depende de la criticidad de la vulnerabilidad, la facilidad de operación y el impacto en los datos de los usuarios. La decisión sobre el nivel de criticidad a menudo se toma en conjunto con los desarrolladores, y esto puede llevar algún tiempo.

VulnerabilidadRemuneración
Remote code execution (RCE)$1500 - $5000
Local files access y otros. ((LFI, RFI, XXE)$500 - $3000
Inyección$500 - $3000
Cross-Site Scripting (XSS), excluyendo self-XSS$100 - $500
SSRF excepto ciegos$300 - $1000
SSRF ciego$100 - $500
Pérdidas de memoria / IDORs / Divulgación de información con datos personales protegidos o información confidencial del usuario$70 - $1150
Otras vulnerabilidades confirmadasDepende de la criticidad

Участвуют все приложения SMS-Activate, которые имеют дело с пользовательскими данными. Наши приложения можно найти в Google Play e App Store por nombre SMS-Activate

Aplicaciones móviles

La recompensa depende de la criticidad de la vulnerabilidad, la facilidad de operación y el impacto en los datos de los usuarios. La decisión sobre el nivel de criticidad a menudo se toma en conjunto con los desarrolladores, y esto puede llevar algún tiempo.

VulnerabilidadRemuneración
Remote code execution (RCE)$1500 - $5000
Local files access y otros. ((LFI, RFI, XXE)$500 - $3000
Inyección$500 - $3000
SSRF excepto ciegos$300 - $1000
SSRF ciego$100 - $500
Pérdidas de memoria / IDORs / Divulgación de información con datos personales protegidos o información confidencial del usuario$70 - $1150
Cross-Site Request Forgery (СSRF, Flash crossdomain requests, CORS)$35 — $300
Otras vulnerabilidades confirmadasDepende de la criticidad

Excepciones al programa

SMS-Activate no paga ninguna recompensa por:

  • informes de escáneres de seguridad y otras herramientas automatizadas ;
  • divulgación de información no crítica, como el nombre del software o su versión ;
  • divulgación de información pública del usuario;
  • problemas y vulnerabilidades que se basan en la versión del producto utilizado, sin demostración de explotación ;
  • información sobre direcciones IP, registros DNS y puertos abiertos de SMS-Activate ;
  • mensajes de error de día cero en TLS;
  • informes de cifrado SSL/TLS inseguros sin demostración de explotación ;
  • falta de SSL y otros BCP (best current practice);
  • ataques físicos a la propiedad de SMS-Activate o sus centros de datos ;
  • problemas de falta de mecanismos de seguridad sin demostración de explotación que pueda afectar a los datos de los usuarios. Por ejemplo, la falta de tokens CSRF, Clickjacking, etc. ;
  • Login / Logout CSRF u otras actividades sin impacto comprobado en la seguridad ;
  • redirecciones abiertas, pero a menos que el problema afecte la seguridad del Servicio, por ejemplo, le permite robar un token de autenticación personalizado. Con este problema, puede calificar para ser agregado al Salón de la Fama ;
  • inyección de fórmulas Excel y CSV;
  • falta de políticas CSP en el dominio o configuración de CSP insegura ;
  • XSS y CSRF, que requieren acciones adicionales del usuario. Las recompensas se pagan solo si afectan a los datos sensibles del usuario y se activan inmediatamente cuando se navega a una página especialmente formada, sin requerir acciones adicionales del usuario ;
  • XSS que requiere incrustar o falsificar algún encabezado, por ejemplo, Host, user-Agent, Referer, Cookie, Etc. ;
  • Tabnabbing-target= "_blank" en enlaces sin impacto probado en la seguridad ;
  • Content spoofing, content injection o text injection sin efectos probados en la seguridad ;
  • no hay banderas en las cookies no sensibles;
  • tener un atributo de Autocompletar en formularios web;
  • sin límite de tasa sin impacto probado en la seguridad;
  • presencia o ausencia de registros SPF y DKIM;
  • uso de una biblioteca vulnerable conocida sin demostración de explotación ;
  • problemas que requieren el uso de técnicas de ingeniería social, mensajes de phishing ;
  • ingeniería social de empleados o contratistas SMS-activate.org ;
  • vulnerabilidades en los servicios asociados si los datos de los usuarios no se ven afectados SMS-activate.org ;
  • mensajes de vulnerabilidad de contraseñas o políticas de contraseñas y otros datos de autenticación de usuarios ;
  • vulnerabilidades en dispositivos móviles que requieren privilegios de root, jailbreak y cualquier otra modificación de aplicaciones o dispositivos ;
  • divulgación de Access keys que tienen restricciones o están cosidos en. apk y no dan acceso a los datos personales ;
  • vulnerabilidades que afectan solo a los usuarios de navegadores y plataformas obsoletos o vulnerables ;
  • ataques que requieren acceso físico al dispositivo del usuario;
  • el hecho de que existe la posibilidad de descompilar o usar el desarrollo inverso de aplicaciones ;
{{texts.verificationNumberText}}
{{texts.verificationNumberInfo}}

{{ texts.verificationVoiceTextFirst }}

{{ texts.verificationVoiceTextSecond }}

{{ texts.verificationVoiceTextThird }}