Dimar FZC LLC
Villas Flamant A-32-01-05-03 25314 Émirats arabes unis, Ajman
+971585072431, /assets/img/icons/logo/logo.svg, [email protected]
Prix ​​libre
Prix ​​libre
Nous utilisons des cookies

C'est sûr, car les cookies ne sont stockés que sur votre appareil. Si cela ne vous dérange pas, cliquez sur « Accepter tous les cookies » ou poursuivez votre navigation sur le site. Politique de traitement des données personnelles.

Numéros pour SMS
Vous n'avez pas trouvé le service dont vous avez besoin ?
Sélection d'un service
Nos partenaires et plus
logo
Gagnez de l'argent avec les cartes SIM ! Partenariat avec sms-activate
logo
Bot de télégramme officiel
logo
marché de comptes prêts à l'emploi

Infrastructure, services Web, applications SMS-Activate

Vous devez trouver les vulnérabilités des infrastructures, des services et des applications qui traitent des données privées. Le terrain de chasse : domaines, applications mobiles et de bureau.
Signaler une erreur
image-de-bug-hunter

Règles de participation au programme Bug Bounty

Bienvenue dans le programme Bug Bounty ! Votre participation contribue à améliorer la sécurité de nos produits et services. Veuillez vous familiariser avec les règles suivantes pour garantir une collaboration efficace et éthique.

Inscription et vérification

  • Inscription: pour participer au programme, vous devez d'abord vous inscrire sur le site Web sms-activate.fr Fournissez votre compte Telegram pendant le processus d'inscription pour faciliter la communication ;
  • Vérification: Vous devez passer par le processus de vérification pour recevoir des paiements. Des instructions détaillées vous seront envoyées via Telegram une fois votre rapport approuvé.

Fournir des rapports

  • Étudier les règles : Avant de soumettre votre rapport, veuillez vous familiariser avec les règles de participation et les types de vulnérabilités qui peuvent être prises en compte ;
  • Formulaire de déclaration : utilisez le formulaire sur la page sms-activate.fr/bugbountyForm pour soumettre votre rapport. Votre rapport doit contenir une description claire de la vulnérabilité, les étapes pour la reproduire, des preuves (captures d'écran, vidéos) et des recommandations pour la corriger ;
  • Fichiers supplémentaires : joindre des fichiers supplémentaires pour confirmer la vulnérabilité si nécessaire ;

Processus de révision des rapports

Votre rapport sera soigneusement analysé par nos spécialistes en sécurité. Ce processus peut prendre jusqu'à trois mois. Pendant ce temps, le rapport peut se voir attribuer l'un des statuts suivants : « en attente », « trié », « rejeté par le modérateur », « plus d'informations requises » et autres.

Types de vulnérabilités

DANS vous trouverez la liste des types de vulnérabilités qui ne sont pas éligibles pour obtenir une récompense. Dans des critères permettant d'évaluer le niveau d'importance d'une vulnérabilité sont précisés.

Vérification et confidentialité

Toutes les données personnelles fournies par vous à des fins de vérification seront utilisées uniquement à des fins d'identification et ne seront pas divulguées à des tiers sans votre accord. Nous faisons de notre mieux pour garantir la confidentialité et la sécurité de vos données.

Paiements

Après une vérification et une confirmation réussies de la vulnérabilité, une récompense vous sera proposée. Le montant de la récompense est déterminé en fonction du niveau d'importance de la vulnérabilité et de la qualité du rapport fourni.

Normes éthiques

Nous attendons des participants qu’ils agissent de manière responsable et éthique. Il n'est pas permis d'exploiter les vulnérabilités trouvées pour causer des dommages, obtenir un accès non autorisé à des données ou des systèmes, ou diffuser des informations sur la vulnérabilité jusqu'à ce qu'elle soit corrigée.

Conclusion

Nous apprécions votre contribution à l’amélioration de la sécurité de nos produits et services. Votre participation contribue à créer un espace numérique plus sûr pour nous tous.
Nous vous souhaitons bonne chance dans la recherche de vulnérabilités ! Votre contribution est inestimable, nous sommes donc reconnaissants de votre aide pour sécuriser nos systèmes.

Annexe A

Types de vulnérabilités qui ne font pas l'objet d'une récompense (vulnérabilités de bas niveau qui n'ont pas de conséquences critiques si elles sont exploitées, notamment) :
  • SEC (les signalements sur ce type de vulnérabilité ne sont acceptés qu'en cas de niveau de criticité élevé ; le niveau de criticité est déterminé par notre spécialiste lorsque la vulnérabilité est confirmée) ;
  • Tout type de vulnérabilités XSS, sauf pour Stored XSS (les rapports de vulnérabilité Stored XSS sont acceptés en fonction de l'importance de la ressource Web) ;
  • Détournement de clics ;
  • URI de redirection non sécurisé ;
  • Liste des répertoires activée (mots de passe, sauvegardes) et Exposition aux données sensibles (en fonction des données divulguées ; les rapports sur cette vulnérabilité sont acceptés si des données critiques sont trouvées) ;
  • Mode débogage activé, cela ne divulgue pas de données critiques ;
  • vulnérabilités CSRF, trouvé dans une fonction qui n'est pas critique;
  • Divulgation du panneau d'administration (si le chasseur de bogues trouve le tableau de bord d'administration, mais est incapable de prendre le contrôle du compte ou d'obtenir d'autres informations critiques) ;
  • Énumération des utilisateurs sans divulguer de données critiques ;
  • Mauvaise configuration de la sécurité, s'il n'y a aucune preuve que la menace s'est réalisée ;
  • Refuser de fournir des services ;
  • Courrier indésirable;
  • Ingénierie sociale, destiné aux employés, sous-traitants ou clients ;
  • Toute tentative physique d'accéder à la propriété ou aux centres de données
  • Propriétaire du système ;
  • Rapport créé à l'aide d'outils et d'analyses automatisés ;
  • Erreurs dans un logiciel tiers ;
  • Absence d'en-têtes de sécurité cela ne mène pas directement à une vulnérabilité ;
  • Violation de la confiance SSL/TLS ;
  • Vulnérabilités affectant uniquement les utilisateurs de navigateurs et de plateformes obsolètes ou sans licence ;
  • Politiques de récupération de mot de passe et de compte, comme la date d'expiration d'un lien de réinitialisation ou la force du mot de passe ;
  • Enregistrement DNS obsolète, pointant vers un système qui n’appartient pas au propriétaire du système.

Contenu

Annexe B

Types de vulnérabilités par niveau de criticité :
Vulnérabilité
Faible
Moyen
Haut
Traversée du chemin
10
40
70
Liste des répertoires activée
10
40
URI de redirection non sécurisé
5
10
Détournement de clics
5
Force brute
5
Injection SQL (base de données vide, base de données utile)
10
40
70
Injection d'entité externe XML
50
70
Inclusion de fichiers locaux
50
Exécution de code à distance
10
50
100
Contournement de l'authentification
50
90
Reprise de compte
50
90
Références d'objets directs non sécurisés
10
XSS stocké
20-30
XSS réfléchi
10-20
Requête côté serveur
40-60
Contrefaçon de demande intersite
10-20
Condition de course
10
90
Injection de modèles côté serveur
20
80
Traversée du chemin
Faible
10
Moyen
40
Haut
70
Liste des répertoires activée
Faible
10
Moyen
40
Haut
URI de redirection non sécurisé
Faible
5
Moyen
10
Haut
Détournement de clics
Faible
5
Moyen
Haut
Force brute
Faible
5
Moyen
Haut
Injection SQL (base de données vide, base de données utile)
Faible
10
Moyen
40
Haut
70
Injection d'entité externe XML
Faible
Moyen
50
Haut
70
Inclusion de fichiers locaux
Faible
Moyen
50
Haut
Exécution de code à distance
Faible
10
Moyen
50
Haut
100
Contournement de l'authentification
Faible
Moyen
50
Haut
90
Reprise de compte
Faible
Moyen
50
Haut
90
Références d'objets directs non sécurisés
Faible
10
Moyen
Haut
XSS stocké
Faible
20-30
Moyen
Haut
XSS réfléchi
Faible
10-20
Moyen
Haut
Requête côté serveur
Faible
Moyen
40-60
Haut
Contrefaçon de demande intersite
Faible
10-20
Moyen
Haut
Condition de course
Faible
10
Moyen
Haut
90
Injection de modèles côté serveur
Faible
20
Moyen
Haut
80

Les points selon le niveau critique de vulnérabilité sont attribués comme suit :

  1. Faible niveau d'importance - de 0 à 30 points ;
  2. Niveau d'importance moyen - de 31 à 60 points ;
  3. Niveau d'importance élevé - de 61 à 100 points.
  • sms-activate.fr
  • hstock.org
  • ipkings.io

Récompenses

Le montant de la récompense dépend de la criticité de la vulnérabilité, de la facilité d'exploitation et de l'impact sur les données des utilisateurs. Le niveau de criticité est souvent décidé en collaboration avec les développeurs et peut prendre plus de temps.
Vulnérabilité
Récompense
Exécution de code à distance (RCE)
$1500 - $5000
Accès aux fichiers locaux et autres (LFR, RFI, XXE)
$500 - $3000
Injections
$500 - $3000
Cross-Site Scripting (XSS), à l'exclusion de Self-XSS
$100 - $500
SSRF, sauf pour les aveugles
$300 - $1000
SSRF aveugle
$100 - $500
Fuites de mémoire / IDOR / Divulgation d'informations contenant des données personnelles protégées ou des informations utilisateur sensibles
$70 - $1150
Autres vulnérabilités confirmées
Cela dépend de la criticité
Toutes les applications SMS-Activate qui traitent les données des utilisateurs sont impliquées. Nos applications se trouvent dans Google Play et Magasin d'applications sous le nom SMS-Activate

Applications

Vulnérabilité
Récompense
Exécution de code à distance (RCE)
$1500 - $5000
Accès aux fichiers locaux et autres (LFR, RFI, XXE)
$500 - $3000
Injections
$500 - $3000
SSRF, sauf pour les aveugles
$300 - $1000
SSRF aveugle
$100 - $500
Fuites de mémoire / IDOR / Divulgation d'informations contenant des données personnelles protégées ou des informations utilisateur sensibles
$70 - $1150
Contrefaçon de requêtes intersites (СSRF, requêtes Flash crossdomain, CORS)
$35 — $300
Autres vulnérabilités confirmées
Cela dépend de la criticité
{{ textes.noFundsInfo }}
{{textes.replenishment}}

{{ textes.verificationVoiceTextFirst }}

{{ textes.verificationVoiceTextSecond }}

{{ textes.verificationVoiceTextThird }}