Săn lỗi

Hướng dẫn cơ bản

Đây là các yêu cầu bắt buộc với các nhà nghiên cứu và hacker mũ trắng khi thông báo lỗi

• Không được phép truy cập hay tải xuống dữ liệu cá nhân của người dùng CyStack, nếu bạn vô tình phát hiện một lỗ hổng như vậy, hãy dừng lại và thông báo cho chúng tôi ngay lập tức.
• Không được làm ảnh hưởng đến hoạt động của dịch vụ như gây gián đoạn dịch vụ, phá hủy dữ liệu người dùng trong quá trình tìm lỗi.
• Chỉ thu thập các thông tin vừa đủ cho việc mô tả lỗ hổng.
• Cung cấp cho chúng tôi càng nhiều thông tin càng tốt về lỗ hổng mà bạn tìm được, bạn có thể đính kèm file trong báo cáo tại WhiteHub hoặc sử dụng dịch vụ lưu trữ file khác, tuy nhiên hãy chắc chắn rằng chúng chỉ được tiết lộ cho chúng tôi.
• Không được phép công khai báo cáo của bạn cho cộng đồng khi chưa được sự đồng ý của chúng tôi. Trong điều kiện cho phép, chúng tôi có thể hỗ trợ bạn việc công khai báo cáo ngay trên hệ thống WhiteHub

Các lỗ hổng cần tập trung

Chúng tôi quan tâm đến bất kỳ vấn đề thiết kế hoặc triển khai nào ảnh hưởng đáng kể đến tính bảo mật hoặc tính toàn vẹn của dữ liệu người dùng và trong phạm vi của chương trình. Chẳng hạn

• Cross Site Scripting (XSS)
• Cross-Site Request Forgery (CSRF)
• SQL Injection (SQLi)
• Các vấn đề liên quan đến Authentication hoặc Authorization
• Data Exposure
• Remote Code Execution
• Business Logic
• Mobile-specific API vulnerabilities

Các lỗi không hợp lệ

Tùy thuộc vào tác động của lỗ hổng, một số vấn đề được báo cáo có thể không được xem là lỗi hợp lệ. Chúng tôi sẽ xem xét chúng theo từng trường hợp cụ thể. Dưới đây là một số loại lỗi sẽ không nhận được thưởng

• Các lỗi không tuân theo logic của người dùng và sẽ khó xảy ra thực tế
• Các lỗi chỉ xảy ra khi sử dụng trình duyệt hay plugin phiên bản rất thấp
• Lỗi cho phép lấy thông tin phiên bản của các công nghệ web
• URL redirection
• Logout cross-site request forgery
• Email spoofing
• DDoS