Programa de recompensas por bugs

Encontre problemas de segurança no Lumin e receba uma recompensa com nosso programa de revelação de vulnerabilidades.

Índice

  • Política

  • Recompensas

  • Regras para a comunicação

  • Dentro do âmbito

  • Fora do âmbito

  • O que estamos procurando

  • O que não estamos procurando

  • Política
  • Recompensas
  • Regras para a comunicação
  • Dentro do âmbito
  • Fora do âmbito
  • O que estamos procurando
  • O que não estamos procurando

Política

As seguintes diretrizes dão uma idéia do que normalmente pagamos por diferentes classes de problemas de segurança. Problemas de baixa qualidade podem ser recompensados abaixo desses níveis, portanto, certifique-se de que há informações suficientes para que possamos reproduzir o seu problema e instruções passo a passo, incluindo como reproduzir o seu problema. As capturas de ecrã também são úteis, mas certifique-se de que não as torna públicas antes de as enviar para seguir as regras do nosso programa.

Recompensas

Mais críticoCríticoAltoMédioBaixo
600 USD - 1200 USD400 USD - 600 USD200 USD100 USD50 USD
Mais críticoCrítico
600 USD - 1200 USD400 USD - 600 USD
AltoMédioBaixo
200 USD100 USD50 USD

Regras para a comunicação

  1. Comunicar uma vulnerabilidade qualificada que esteja no âmbito do nosso programa (abaixo).
  2. Seja a primeira pessoa a comunicar a vulnerabilidade.
  3. Seja razoável com os métodos de verificação automatizados, de modo a não degradar os serviços.
  4. Abstenha-se de divulgar a vulnerabilidade até que a tenhamos resolvido.
  5. NUNCA tente obter acesso à conta ou aos dados de um utilizador real.
  6. Não pode divulgar, manipular ou destruir quaisquer dados do utilizador.
  7. Não afete os utilizadores com os seus testes.

Dentro do âmbito

  1. app.luminpdf.com
  2. luminpdf.com
  3. Versões de aplicações Android e iOS
  4. sign.luminpdf.com

Fora do âmbito

  1. tools.luminpdf.com
  2. help.luminpdf.com

O que estamos procurando

  1. Cross-site scripting (XSS)
  2. Cross-site request forgery (CSRF)
  3. Insecure direct object reference (IDOR)
  4. Account takeovers
  5. SQL Injection
  6. Authentication flaws
  7. Remote code execution (RCE)
  8. Server-side request forgery (SSRF)
  9. XML External Entity Attacks (XXE)
  10. Anything not listed but important

O que não estamos procurando

  1. Vulnerabilities requiring physical access to the victim's unlocked device
  2. Denial of Service attacks
  3. Brute Force attacks
  4. Spam or Social Engineering techniques
  5. Content Spoofing
  6. Best practices concerns
  7. Issues relating to Password Policy
  8. Issues relating to token lifetime
  9. User enumeration
  10. Full-Path Disclosure on any property
  11. CSRF-able actions that do not require authentication (or a session) to exploit
  12. Reports related to missing security headers
  13. CSV Injection
  14. Reverse Tabnabbing
  15. Bugs that do not represent any security risk
  16. Vulnerabilities that are limited to unsupported browsers

Como comunicar?

Envie todos os relatórios de segurança para [email protected]

Saiba mais sobre a segurança do Lumin

Lumin tem um sistema de segurança forte e moderno, com foco em soluções de segurança personalizadas e conformidade com os padrões da indústria.

Explorar o centro de segurança
Explore security