Chương trình tiết lộ lỗ hổng bảo mật.
Tìm các sự cố bảo mật trong Lumin để nhận thưởng.
Chính sách
Các hướng dẫn sau đây giúp bạn hiểu được về những gì chúng tôi thường trả thưởng cho các loại sự cố bảo mật khác nhau. Các sự cố chất lượng thấp có thể được thưởng dưới các bậc này. Vì vậy, hãy đảm bảo rằng có đủ thông tin để chúng tôi có thể tạo lại sự cố của bạn cùng với hướng dẫn từng bước bao gồm cả cách tạo lại sự cố của bạn. Ảnh chụp màn hình cũng hữu ích, nhưng xin vui lòng đảm bảo không công khai những ảnh này trước khi gửi chúng để tuân theo quy tắc chương trình của chúng tôi.
Phần thưởng
| Nghiêm trọng nhất | Nghiêm trọng |
|---|---|
| 600 USD - 1.200 USD | 400 USD - 600 USD |
| Cao | Trung bình | Thấp |
|---|---|---|
| 200 USD | 100 USD | 50 USD |
| Nghiêm trọng nhất | Nghiêm trọng | Cao | Trung bình | Thấp |
|---|---|---|---|---|
| 600 USD - 1.200 USD | 400 USD - 600 USD | 200 USD | 100 USD | 50 USD |
Quy tắc báo cáo
- Báo cáo lỗ hổng bảo mật đủ điều kiện nằm trong phạm vi chương trình của chúng tôi (bên dưới).
- Là người đầu tiên báo cáo lỗ hổng bảo mật.
- Sử dụng các phương pháp quét tự động một cách hợp lý để không làm giảm chất lượng dịch vụ.
- Không tiết lộ lỗ hổng bảo mật cho đến khi chúng tôi giải quyết xong.
- KHÔNG BAO GIỜ cố giành quyền truy cập vào tài khoản hoặc dữ liệu của người dùng thật.
- Bạn không được rò rỉ, thao túng hoặc phá hủy bất kỳ dữ liệu người dùng nào.
- Không gây ảnh hưởng đến người dùng bằng thử nghiệm của bạn.
Trong phạm vi
- app.luminpdf.com
- luminpdf.com
- Android & iOS applications versions
Ngoài phạm vi
Những điều chúng tôi đang tìm kiếm
- Chèn mã lệnh xuyên website (XSS)
- Giả mạo yêu cầu xuyên website (CSRF)
- Tham chiếu đối tượng trực tiếp không an toàn (IDOR)
- Tiếp quản tài khoản
- Chèn SQL
- Lỗi xác thực
- Thực thi mã từ xa (RCE)
- Giả mạo yêu cầu phía máy chủ (SSRF)
- Cuộc tấn công Thực thể Bên ngoài XML (XXE)
- Bất cứ điều gì không được liệt kê nhưng quan trọng
Những điều chúng tôi không tìm kiếm
- Các lỗ hổng đòi hỏi quyền truy cập vật lý vào thiết bị đã mở khóa của nạn nhân
- Các cuộc tấn công từ chối dịch vụ
- Các cuộc tấn công Brute Force
- Kỹ thuật tấn công phi kỹ thuật hoặc spam
- Giả mạo nội dung
- Mối quan tâm về các phương pháp hay nhất
- Các sự cố liên quan đến chính sách mật khẩu
- Các sự cố liên quan đến thời gian tồn tại của token
- Bảng liệt kê người dùng
- Tiết lộ toàn bộ đường dẫn trên bất kỳ thuộc tính nào
- Các hành động có khả năng CSRF không yêu cầu xác thực (hoặc phiên) để khai thác
- Các báo cáo liên quan đến thiếu đầu đề bảo mật
- Nhúng CSV
- Tabnabbing đảo ngược
- Các lỗi không thể hiện bất kỳ rủi ro bảo mật nào
- Lỗ hổng được chỉ có ở các trình duyệt không được hỗ trợ
Cách báo cáo
Xin vui lòng gửi tất cả các báo cáo bảo mật tới [email protected]