Programa de divulgação de vulnerabilidades.
Descubra problemas de segurança na Lumin e receba uma recompensa.
Política
As seguintes diretrizes dão-lhe uma ideia do que pagamos normalmente por várias classes de problemas de segurança. Os problemas de pouca qualidade podem ser recompensados abaixo desses níveis, portanto, certifique-se de que fornece informações suficientes para podermos reproduzir o seu problema, acompanhadas por instruções passo a passo, incluindo sobre como reproduzir o seu problema. As capturas de ecrã também são úteis. No entanto, certifique-se de que não as torna públicas antes de as enviar, a fim de seguir as regras do nosso programa.
Recompensas
| Mais críticos | Críticos |
|---|---|
| 600 USD a 1200 USD | 400 USD a 600 USD |
| Altamente críticos | Medianamente críticos | Pouco críticos |
|---|---|---|
| 200 USD | 100 USD | 50 USD |
| Mais críticos | Críticos | Altamente críticos | Medianamente críticos | Pouco críticos |
|---|---|---|---|---|
| 600 USD a 1200 USD | 400 USD a 600 USD | 200 USD | 100 USD | 50 USD |
Regras de relatório
- Comunique uma vulnerabilidade qualificada que se encontre abrangida pelo âmbito do nosso programa (abaixo).
- Seja a primeira pessoa a comunicar a vulnerabilidade.
- Proceda de forma razoável ao utilizar métodos de análise automatizados, a fim de não degradar os serviços.
- Abstenha-se de divulgar a vulnerabilidade até a termos resolvido.
- NUNCA tente obter acesso à conta ou aos dados de qualquer utilizador real.
- Não pode divulgar, manipular ou destruir os dados de nenhum utilizador.
- Não afete os utilizadores com os seus testes.
Dentro do âmbito
- app.luminpdf.com
- luminpdf.com
- Android & iOS applications versions
Fora do âmbito
O que é que procuramos
- Scripting entre sites (XSS)
- Falsificação de pedidos entre sites (CSRF)
- Referência direta de objeto insegura (IDOR)
- Apropriações indevidas de contas
- Injeção de SQL
- Falhas na autenticação
- Execução remota de código (RCE)
- Falsificação de pedido do lado do servidor (SSRF)
- Ataques de entidades externas por XML (XXE)
- Qualquer coisa que seja importante, ainda que não conste da lista
O que é que não procuramos
- Vulnerabilidades que exijam acesso físico ao dispositivo desbloqueado da vítima
- Ataques do tipo Denial-Of-Service
- Ataques de força bruta
- Técnicas de spam ou engenharia social
- Spoofing de conteúdo
- Preocupações relativas a melhores práticas
- Problemas relacionados com a Política de Palavras-Passe
- Questões relacionadas com o prazo de validade do token
- Enumeração de utilizadores
- Divulgação do caminho completo de qualquer propriedade
- Ações propensas a possibilitar ataques de CSRF que não implicam autenticação (ou início de sessão) para explorar as vulnerabilidades
- Relatórios relacionados com cabeçalhos de segurança em falta
- Injeção de CSV
- Tabnabbing inverso
- Erros que não representam qualquer risco de segurança
- Vulnerabilidades limitadas a navegadores não suportados
Como relatar?
Envie todos os relatórios de segurança para [email protected]