Programme de divulgation des failles.
Trouvez des problèmes de sécurité dans Lumin et recevez une récompense.
Politique
Les lignes directrices suivantes vous donnent une idée de ce que nous payons habituellement pour différentes catégories de problèmes de sécurité. Les problèmes de faible qualité peuvent être récompensés en dessous de ces niveaux. Veillez donc à fournir suffisamment d'informations pour que nous puissions reproduire votre problème ainsi que des instructions détaillées sur la manière de le faire. Les captures d'écran sont également utiles, mais assurez-vous de ne pas les rendre publiques avant de nous les envoyer, ce afin de respecter les règles de notre programme.
Récompenses
| Les plus critiques | Critiques |
|---|---|
| De 600 USD à 1 200 USD | De 400 USD à 600 USD |
| Hauts | Moyens | Bas |
|---|---|---|
| 200 USD | 100 USD | 50 USD |
| Les plus critiques | Critiques | Hauts | Moyens | Bas |
|---|---|---|---|---|
| De 600 USD à 1 200 USD | De 400 USD à 600 USD | 200 USD | 100 USD | 50 USD |
Règles de signalement
- Signalez une faille répondant aux critères de notre programme (ci-dessous).
- Soyez la première personne à signaler la faille.
- Soyez raisonnable avec les méthodes d'analyse automatisées afin de ne pas dégrader les services.
- Abstenez-vous de divulguer la faille tant que nous n'y avons pas remédié.
- N'essayez JAMAIS d'accéder au compte ou aux données d'un véritable utilisateur.
- Vous ne devez pas divulguer, manipuler ou détruire les données des utilisateurs.
- N'affectez pas les utilisateurs avec vos tests.
Pertinent
- app.luminpdf.com
- luminpdf.com
- Android & iOS applications versions
Non pertinent
Ce que nous cherchons
- Cross-site scripting (XSS)
- Cross-site request forgery (CSRF)
- Insecure direct object reference (IDOR)
- Prises de contrôle de compte
- Injection SQL
- Failles d'authentification
- Code arbitraire
- Server-side request forgery (SSRF)
- XML External Entity Attacks (XXE)
- Tout ce qui n'est pas répertorié, mais qui est important.
Ce que nous ne cherchons pas
- Failles nécessitant un accès physique à l'appareil déverrouillé de la victime
- Attaques par déni de service
- Attaques par force brute
- Techniques de spam ou d'ingénierie sociale
- Usurpation de contenu
- Problèmes de bonnes pratiques
- Problèmes liés à la politique en matière de mots de passe
- Problèmes liés à la durée de vie des jetons
- Énumération des utilisateurs
- Divulgation du chemin d'accès complet à n'importe quelle propriété
- Les actions compatibles avec du CSRF qui ne nécessitent pas d'authentification (ou de session) pour être exploitées
- Signalements liés aux en-têtes de sécurité manquants
- Injection CSV
- Tabnabbing inversé
- Bogues qui ne représentent aucun risque pour la sécurité
- Failles limitées aux navigateurs non pris en charge
Comment faire un rapport ?
Veuillez envoyer tous les rapports de sécurité à [email protected].