Programa de divulgación de vulnerabilidades.
Encuentre problemas de seguridad en Lumin y obtenga una recompensa.
Política
Las siguientes pautas le darán una idea de lo que pagamos habitualmente por diferentes clases de problemas de seguridad. Los problemas de baja calidad se pueden recompensar por debajo de estos niveles; por lo tanto, asegúrese de que haya suficiente información para que podamos reproducir su problema e instrucciones paso a paso, incluida la forma de reproducir su problema. Las capturas de pantalla también son útiles, pero asegúrese de no hacerlas públicas antes de enviarlas para seguir las reglas de nuestro programa.
Recompensas
| Los más críticos | Críticos |
|---|---|
| 600 USD - 1200 USD | 400 USD - 600 USD |
| Alta | Media | Baja |
|---|---|---|
| 200 USD | 100 USD | 50 USD |
| Más crítico | Crítico | Alta | Media | Baja |
|---|---|---|---|---|
| 600 USD - 1200 USD | 400 USD - 600 USD | 200 USD | 100 USD | 50 USD |
Reglas para informar
- Informe de una vulnerabilidad que cumpla los requisitos y que esté dentro del alcance de nuestro programa (a continuación).
- Sea la primera persona en informar de la vulnerabilidad.
- Actúe con sensatez con los métodos de exploración automatizados para no degradar los servicios.
- Absténgase de revelar la vulnerabilidad hasta que la hayamos abordado.
- No intente NUNCA acceder a la cuenta o a los datos de un usuario real.
- No debe filtrar, manipular ni destruir ningún dato de usuario.
- Evite que sus comprobaciones afecten a los usuarios.
Dentro de alcance
- app.luminpdf.com
- luminpdf.com
- Android & iOS applications versions
Fuera de alcance
Qué buscamos
- Secuencias de comandos entre sitios (XSS)
- Falsificación de solicitudes entre sitios (CSRF)
- Referencia directa a objetos no segura (IDOR)
- Apropiaciones de cuentas
- Inyección SQL
- Defectos de autenticación
- Ejecución remota de código (RCE)
- Falsificación de solicitudes en servidor (SSRF)
- Ataques de entidades externas XML (XXE)
- Cualquier cosa no incluida en la lista pero importante
Qué no buscamos
- Vulnerabilidades que requieren acceso físico al dispositivo desbloqueado de la víctima
- Ataques de denegación de servicio
- Ataques de fuerza bruta
- Técnicas de correo no deseado o de ingeniería social
- Suplantación de contenido
- Cuestiones relacionadas con las buenas prácticas
- Problemas relacionados con la política de contraseñas
- Problemas relacionados con la vida útil del token
- Enumeración de usuarios
- Divulgación de ruta completa en cualquier propiedad
- Acciones resistentes a los CSRF que no requieren autenticación (o una sesión) para su explotación
- Informes relacionados con la ausencia de encabezados de seguridad
- Inyección CSV
- Tabnabbing inverso
- Errores que no representan ningún riesgo de seguridad
- Vulnerabilidades que están limitadas a navegadores no compatibles
¿Cómo informar?
Envíe todos los informes de seguridad a [email protected]