betway电子游艺媒体的臭虫赏金披露计划

软件安全研究社区使网络变得更好,更安全的地方。我们通过一个赏金计划来支持他们的捕虫工作。

要报告漏洞,请发电子邮件至security@betway电子游艺www.forvidre.com网站.

查看已作出负责任披露的其他人在这里.

限定的漏洞

以下域和应用程序在程序范围内:

  • *媒betway电子游艺体网站
  • *嵌入
  • betway电子游艺IOS介质
  • betway电子游艺Android媒体
  • betway电子游艺自定义域(不包括任何非媒体托管的子域或相关域)。betway电子游艺

符合条件,您必须使用可复制的漏洞来演示这些域中的任何一个域的安全性妥协,包括以下内容:

  • 跨站点脚本开发
  • 跨站点请求伪造利用
  • 认证或授权缺陷
  • 官方媒体移动应用程betway电子游艺序或API缺陷
  • 服务器端代码执行错误
  • 注射缺陷
  • 严重的安全配置错误
  • 推荐和排名系统

这些漏洞不符合奖励计划的条件。

你的规则

  • 在修复错误之前不要将其公开。
  • 不要试图访问其他用户的帐户或数据。使用您自己的测试帐户进行跨帐户测试。
  • 不要执行任何可能损害我们服务或数据的可靠性/完整性的攻击。不允许使用ddos/spam攻击。
  • 仅测试您知道由介质操作的站点或应用程序上的漏洞。betway电子游艺在www.forvidre.com的子域上托管的一些站点是由第三方操作的,不应进行betway电子游艺测试。
  • 不要影响其他用户的测试,这包括测试您不拥有的帐户中的漏洞。如果您这样做,我们可能会暂停您的中型帐户betway电子游艺并禁止您的IP地址。
  • 不要使用扫描仪或自动化工具来发现漏洞。他们很吵,我们可能会暂停您的中型帐户并禁止您的IP地址。betway电子游艺
  • 没有社会工程等非技术性攻击,钓鱼,或是对员工的人身攻击,用户,或基础设施。
  • 概念验证越彻底,支付的机会越高。
  • 当有疑问时,给我们发电子邮件.

美国规则

  • 我们将尽快回复您的提交。
  • 我们将在修复您提交的bug时保持更新。
  • 如果你遵守规则并诚实行事,我们不会对你采取法律行动。

奖励

根据错误的严重性和提交的完整性,我们将自行决定,我们提供以下奖励:

  • 远程代码执行:$1500
  • 不受限制地访问文件系统或数据库:$1000
  • 漏洞泄露或绕过重要的安全控制:1000美元
  • 允许人工操作排名和推荐系统的错误:250美元
  • 在客户机上执行代码,包括XSS$100
  • 打开重定向:$100
  • 其他有效的安全漏洞:施瓦格和对人性化.
  • 辅助服务或第三方依赖性的漏洞:施瓦格和认可。

法律事务和最终说明

我们只和校长打交道,不是漏洞代理。

如果您居住在美国限制出口管制清单上的国家,或在美国或联邦刑事通缉清单或限制出口管制清单上,您没有资格参加此计划。

我们将对bug的合格性和价值做出最终决定。本程序完全由我们自行决定,可随时修改或取消。我们对这些计划条款所做的任何更改都不具有追溯力。感谢您帮助我们使介质更安全。betway电子游艺