Programa de recompensas por bugs
Encontre problemas de segurança no Lumin e receba uma recompensa com nosso programa de revelação de vulnerabilidades.
Índice
Política
Recompensas
Regras para a comunicação
Dentro do âmbito
Fora do âmbito
O que estamos procurando
O que não estamos procurando
- Política
- Recompensas
- Regras para a comunicação
- Dentro do âmbito
- Fora do âmbito
- O que estamos procurando
- O que não estamos procurando
Política
As seguintes diretrizes dão uma idéia do que normalmente pagamos por diferentes classes de problemas de segurança. Problemas de baixa qualidade podem ser recompensados abaixo desses níveis, portanto, certifique-se de que há informações suficientes para que possamos reproduzir o seu problema e instruções passo a passo, incluindo como reproduzir o seu problema. As capturas de ecrã também são úteis, mas certifique-se de que não as torna públicas antes de as enviar para seguir as regras do nosso programa.
Recompensas
| Vulnerabilidade de segurança | Avaria/ANR em dispositivos móveis | ||||
|---|---|---|---|---|---|
| Mais crítico | Crítico | Alto | Médio | Baixo | |
| 600 USD - 1200 USD | 400 USD - 600 USD | 200 USD | 100 USD | 50 USD | 500 USD |
| Vulnerabilidade de segurança | |
|---|---|
| Mais crítico | Crítico |
| 600 USD - 1200 USD | 400 USD - 600 USD |
| Alto | Médio | Baixo |
|---|---|---|
| 200 USD | 100 USD | 50 USD |
| Avaria/ANR em dispositivos móveis |
|---|
| 500 USD |
Regras para a comunicação
- Comunicar uma vulnerabilidade qualificada que esteja no âmbito do nosso programa (abaixo).
- Seja a primeira pessoa a comunicar a vulnerabilidade.
- Seja razoável com os métodos de verificação automatizados, de modo a não degradar os serviços.
- Abstenha-se de divulgar a vulnerabilidade até que a tenhamos resolvido.
- NUNCA tente obter acesso à conta ou aos dados de um utilizador real.
- Não pode divulgar, manipular ou destruir quaisquer dados do utilizador.
- Não afete os utilizadores com os seus testes.
Dentro do âmbito
- app.luminpdf.com
- luminpdf.com
- Versões de aplicações Android e iOS
- sign.luminpdf.com
Fora do âmbito
O que estamos procurando
- Cross-site scripting (XSS)
- Cross-site request forgery (CSRF)
- Insecure direct object reference (IDOR)
- Account takeovers
- SQL Injection
- Authentication flaws
- Remote code execution (RCE)
- Server-side request forgery (SSRF)
- XML External Entity Attacks (XXE)
- Anything not listed but important
O que não estamos procurando
- Vulnerabilities requiring physical access to the victim's unlocked device
- Denial of Service attacks
- Brute Force attacks
- Spam or Social Engineering techniques
- Content Spoofing
- Best practices concerns
- Issues relating to Password Policy
- Issues relating to token lifetime
- User enumeration
- Full-Path Disclosure on any property
- CSRF-able actions that do not require authentication (or a session) to exploit
- Reports related to missing security headers
- CSV Injection
- Reverse Tabnabbing
- Bugs that do not represent any security risk
- Vulnerabilities that are limited to unsupported browsers
Como comunicar?
Envie todos os relatórios de segurança para [email protected]
Saiba mais sobre a segurança do Lumin
Lumin tem um sistema de segurança forte e moderno, com foco em soluções de segurança personalizadas e conformidade com os padrões da indústria.
Explorar o centro de segurança