Programme de primes aux bugs
Trouvez des problèmes de sécurité dans Lumin et obtenez une récompense avec notre programme de divulgation des vulnérabilités.
Table des matières
Politique
Récompenses
Règles de signalement
Dans la portée
Hors champ d'application
Ce que nous recherchons
Ce que nous ne recherchons pas
- Politique
- Récompenses
- Règles de signalement
- Dans la portée
- Hors champ d'application
- Ce que nous recherchons
- Ce que nous ne recherchons pas
Politique
Les consignes suivantes vous donnent une idée de ce que nous payons habituellement pour différentes catégories de problèmes de sécurité. Les problèmes de faible qualité peuvent être récompensés en dessous de ces niveaux, alors assurez-vous qu'il y a suffisamment d'informations pour que nous puissions reproduire votre problème et des instructions étape par étape, y compris comment reproduire votre problème. Les captures d'écran sont également utiles, mais assurez-vous de ne pas les rendre publiques avant de les soumettre pour suivre les règles de notre programme.
Récompenses
| Vulnérabilité de sécurité | Plantage/ANR sur mobile | ||||
|---|---|---|---|---|---|
| Le plus critique | Critique | Élevé | Moyen | Faible | |
| 600 USD - 1200 USD | 400 USD - 600 USD | 200 USD | 100 USD | 50 USD | 500 USD |
| Vulnérabilité de sécurité | |
|---|---|
| Le plus critique | Critique |
| 600 USD - 1200 USD | 400 USD - 600 USD |
| Élevé | Moyen | Faible |
|---|---|---|
| 200 USD | 100 USD | 50 USD |
| Plantage/ANR sur mobile |
|---|
| 500 USD |
Règles de signalement
- Signalez une vulnérabilité éligible dans le cadre de notre programme (ci-dessous).
- Soyez la première personne à signaler la vulnérabilité.
- Soyez raisonnable avec les méthodes d'analyse automatisées afin de ne pas dégrader les services.
- Abstenez-vous de divulguer la vulnérabilité tant que nous ne l'avons pas résolue.
- N'essayez JAMAIS d'accéder au compte ou aux données d'un utilisateur réel.
- Vous ne devez pas divulguer, manipuler ou détruire des données utilisateur.
- N'impactez pas les utilisateurs avec vos tests.
Dans la portée
- app.luminpdf.com
- luminpdf.com
- Versions des applications Android et iOS
- sign.luminpdf.com
Hors champ d'application
Ce que nous recherchons
- Cross-site scripting (XSS)
- Cross-site request forgery (CSRF)
- Insecure direct object reference (IDOR)
- Account takeovers
- SQL Injection
- Authentication flaws
- Remote code execution (RCE)
- Server-side request forgery (SSRF)
- XML External Entity Attacks (XXE)
- Anything not listed but important
Ce que nous ne recherchons pas
- Vulnerabilities requiring physical access to the victim's unlocked device
- Denial of Service attacks
- Brute Force attacks
- Spam or Social Engineering techniques
- Content Spoofing
- Best practices concerns
- Issues relating to Password Policy
- Issues relating to token lifetime
- User enumeration
- Full-Path Disclosure on any property
- CSRF-able actions that do not require authentication (or a session) to exploit
- Reports related to missing security headers
- CSV Injection
- Reverse Tabnabbing
- Bugs that do not represent any security risk
- Vulnerabilities that are limited to unsupported browsers
Comment signaler ?
Veuillez envoyer tous les rapports de sécurité à [email protected]
En savoir plus sur la sécurité de Lumin
Lumin dispose d'un système de sécurité moderne et robuste, axé sur des solutions personnalisées et conforme aux normes de l'industrie.
Explorer le centre de sécurité