Ostatnio wyszukiwane

Brak ostatnich wyszukiwań

    Popularne artykuły

      Artykuły
      Wyświetl wszystko
        Wątki
        Wyświetl wszystko
          Zgłoszenia
          Wyświetl wszystko
            brak wyników

            Niestety nie znaleźliśmy wyników dla

            Program bug bounty w Bit2Me

            Zmodyfikowano dnia wt, 14 Paź o 1:05 PO POŁUDNIU

            W Bit2Me uwielbiamy kulturę hakerską. Czujemy się bardzo utożsamieni z tym nurtem, który jest częścią DNA naszej firmy. Do tego stopnia, że niektórzy z nas biorą udział w hackatonach i zawodach CTF (Capture-The-Flag). W Bit2Me zawsze jesteśmy chętni do współpracy i organizowania wydarzeń zgodnych z tym myśleniem.

            W celu, aby społeczeństwo zmierzało w kierunku świata, w którym kryptowaluty takie jak Bitcoin mają większą akceptację, pracujemy nad budową najlepszej na świecie platformy do kryptowalut.

            Pomoże nam to stworzyć znacznie bardziej sprawiedliwy i demokratyczny świat, bez monopolu na pieniądze, jak to ma miejsce obecnie w przypadku pieniędzy banków centralnych. W którym nieliczni zniewalają resztę ludzkości przez sposób, w jaki on działa.

            Jesteśmy świadomi szaleńczego tempa, jakie może mieć startup taki jak nasz (aktualizacje, nowe produkty, ...). Jako ludzie, jesteśmy również świadomi, że nie jesteśmy idealni i możemy o czymś zapomnieć.

            Dlatego, społeczności hakerska, ten dokument jest wezwaniem dla was. Oddajemy do waszej dyspozycji najlepszy program bug bounty, jaki mogliśmy stworzyć, biorąc pod uwagę obecną wielkość naszej firmy. W miarę naszego rozwoju będziemy go aktualizować.

            Co musisz wiedzieć?

            Zasady programu

            • Musisz dodać nagłówek "X-BUGBOUNTY-HACKER: <twoja_nazwa_hakera>" podczas przeprowadzania testów, abyśmy mogli zidentyfikować Twoje żądania.
            • Akceptowane będą tylko raporty o wcześniej niezgłoszonych podatnościach. W przypadku duplikatów, zawsze nagradzany będzie pierwszy zgłaszający (pod warunkiem, że przestrzegał tutaj przedstawionych zasad, w przeciwnym razie kolejność zgłoszeń będzie od najstarszego do najnowszego).
            • Dostarcz wystarczających dowodów i informacji, aby nasz zespół inżynierów mógł odtworzyć i naprawić podatność.
            • Nie wykazuj żadnego rodzaju nielegalnego zachowania podczas ujawniania podatności Bit2Me, takiego jak groźby, pozwy sądowe lub inne taktyki przymusu.
            • Nie wykorzystuj podatności w sposób, który mógłby publicznie wyciec wrażliwe informacje, ani nie czerp korzyści z wykorzystania podatności przed otrzymaniem nagrody od Bit2Me.
            • Nie niszcz danych ani nie przerywaj działania żadnej z usług Bit2Me w trakcie procesu.
            • Zgłaszaj tylko jedną podatność na żądanie, chyba że konieczne jest połączenie podatności w celu maksymalizacji wpływu na dany typ podatności.
            • Nie zgłaszaj podatności spowodowanej podstawowym problemem, który jest taki sam jak problem, za który już zapłacono nagrodę w ramach tego Programu.
            • Wiele podatności spowodowanych jednym podstawowym problemem otrzyma jedną nagrodę.
            • Ta sama podatność odtwarzalna w więcej niż jednej usłudze lub subdomenie będzie traktowana jako jedna podatność.
            • Publikacja w jakichkolwiek mediach internetowych jakiegokolwiek udanego wykorzystania podatności podczas udziału w programie Bug Bounty jest niedozwolona. Naruszenie tej zasady spowoduje odrzucenie przyszłych zgłoszeń od takiego członka i zawieszenie jego oczekujących wypłat nagród.


            Już zgłoszone podatności

            Normalne pytanie, które możesz sobie zadać, i słusznie, brzmi: Jak mogę być pewien/pewna, że Bit2Me będzie szczera, odrzucając podatność, uzasadniając to tym, że została już zgłoszona?

            Jak mówi jedno ze słynnych haseł świata kryptowalut: "Nie ufaj, weryfikuj!"

            Jak wiecie, uwielbiamy innowacje i technologię kryptowalut. Mając to na uwadze i aby dać przykład wartości i zalet, jakie oferuje technologia Blockchain, każda zgłoszona i zaakceptowana podatność zostanie opublikowana na Blockchainie.


            Jak to zrobimy? Kryptografia do potęgi!

            Po zgłoszeniu i zaakceptowaniu podatności, jeszcze zanim zostanie ona naprawiona przez nasz zespół, zrobimy co następuje: 

            1. Zbierzemy wszystkie informacje o podatności i stworzymy raport w formacie PDF.

            2. Z nowo utworzonego raportu PDF wygenerujemy cyfrowy odcisk palca (sumę kontrolną hash).

            3. Wyślemy transakcję do blockchainu Ethereum, zawierającą wygenerowany hash dokumentu.

            Ta transakcja pozostanie na zawsze przejrzysta i niezmienna w sieci, będąc całkowicie niemożliwą do zmiany i odzwierciedlając dokładny moment jej utworzenia.


            Co to oznacza?

            Jeśli ten hash istniał w tym momencie, oznacza to, że dokument, a wraz z nim informacje, które go tworzą, również istniały.

            Jeśli później ktoś zgłosi nam podobną podatność, przekażemy mu raport PDF i transakcję. 

            Z raportem będzie mógł sam wygenerować cyfrowy odcisk palca i sprawdzić, że ten hash został już zarejestrowany w przeszłości, dzięki dostarczonej transakcji Ethereum, gdzie będzie mógł zobaczyć dokładną datę.

            Do hasha / sumy kontrolnej raportu użyjemy algorytmu SHA-512.


            Zakres działania (scope)

            Ograniczyliśmy obszar działania w poszukiwaniu podatności do następujących domen / subdomen:

            • bit2me.com

            • account.bit2me.com

            • wallet.bit2me.com

            • converter.bit2me.com 

            • explorer.bit2me.com

            • gateway.bit2me.com

            • Aplikacje Bit2Me na Androida i iOS

            Podatności, które NIE będą akceptowane

            • Wszystkie aktywa poza wskazanym zakresem.
            • Chociaż dozwolone są podatności, które mogą powodować odmowę usługi (DoS), czy to z powodu niespójności kodu, przestarzałych usług na platformie, czy bibliotek generujących nadmierne pętle cyklomatyczne, poza zakresem są rozproszone ataki typu "odmowa usługi" (DDoS), takie jak ataki za pośrednictwem botnetów lub narzędzi do zalewania.
            • Wyliczanie kont/adresów e-mail.
            • Ataki siłowe.
            • Fałszowanie treści i wstrzykiwanie tekstu bez możliwości modyfikacji HTML/CSS.
            • Samodzielne wykorzystywanie podatności (np. udane XSS wykonane tylko lokalnie, skryptowanie w konsoli, ponowne użycie tokena...).
            • Permisywne nagłówki CORS.
            • Clickjacking z działaniami o minimalnym wpływie.
            • Tab-nabbing.
            • Podatności związane z autouzupełnianiem formularzy.
            • Brak nagłówków lub flag (CSP, X-Frame-Options, Strict-Transport-Security, Content-sniffing, flaga HTTPOnly, atrybuty linków "noopener noreferrer" itp.), które nie mogą prowadzić do bezpośredniego wykorzystania.
            • Brak dobrych praktyk w konfiguracji SSL/TLS.
            • Obsługa metod HTTP, takich jak OPTIONS.
            • Ataki CSRF bez naruszania uwierzytelniania lub krytycznych operacji (dodawanie do ulubionych, wylogowanie itp.).
            • Ujawnienie przestarzałych wersji oprogramowania lub usług.
            • Ujawnienie publicznych katalogów lub plików (takich jak robots.txt) o minimalnym wpływie.
            • Błędy w nietypowych przeglądarkach lub przeglądarkach nieobsługiwanych przez Bit2Me.
            • Ataki MITM wymagające fizycznego dostępu do urządzenia użytkownika.
            • Wszelkie ataki fizyczne na własność Bit2Me lub jej centra danych.
            • Publicznie dostępne panele logowania.
            • Problemy z UX lub użytecznością, które nie wiążą się z lukami w zabezpieczeniach.
            • Problemy, które nie mają wpływu na bezpieczeństwo (np. błąd ładowania strony).
            • Inżynieria społeczna, phishing, vishing, smishing przeciwko pracownikom, dostawcom, klientom lub użytkownikom Bit2Me.
            • Podatności już nam znane lub zgłoszone przez kogoś innego (nagroda trafi do pierwszego zgłaszającego).
            • Inne…


            Jak zgłosić błąd?

            Wyślij swój raport na adres e-mail: security@bit2me.com.

            Dołącz jak najwięcej dowodów: tytuł wykorzystanej podatności, opis każdego kroku wykorzystania, użyte narzędzia, wersję przeglądarki, dołącz zrzuty ekranu (a nawet wideo) itp.

            Dołącz PoC (dowód koncepcji), jeśli go przeprowadziłeś. Obowiązkowe będzie dołączenie wyjaśnienia, jak naprawić zgłoszoną podatność.

            Poczekaj do 10 dni roboczych, aż nasz zespół przeanalizuje Twoje zgłoszenie i otrzymasz odpowiedź, czy je zaakceptowaliśmy. W przypadku akceptacji nagroda zostanie wypłacona w terminie określonym w Polityce odpowiedzi (*zobacz politykę odpowiedzi).


            Polityka odpowiedzi

            Bit2Me zawsze dołoży wszelkich starań, aby przestrzegać następującej polityki odpowiedzi na zgłoszenia wysyłane przez hakerów uczestniczących w naszym programie:

            Nasz maksymalny czas odpowiedzi na akceptację podatności (od otrzymania raportu) wynosi: 10 dni roboczych.

            Wypłata nagrody nastąpi po usunięciu podatności. Okres ten może trwać dni, a nawet tygodnie.

            Płatności mogą być realizowane w następujący sposób:

            • Kryptowaluty: Uwielbiamy kryptowaluty i jeśli Ty też je lubisz, z przyjemnością wypłacimy Ci nagrodę w kryptowalutach takich jak Bitcoin, Ethereum, Monero lub innych.


            Nagrody

            Nagrody przyznawane przez Bit2Me wahają się od 50 € za niskie podatności do 5 000 € za te wysoce krytyczne.

            Standardowe nagrody będą przyznawane na podstawie naszego kryterium krytyczności podatności:

            Za podatności, które wewnętrzny zespół ds. cyberbezpieczeństwa firmy uzna za BARDZO krytyczne, Bit2Me przewiduje specjalną nagrodę w wysokości 5 000 €.


            Uwaga: Jeśli raport nie zawiera ważnego PoC (dowodu koncepcji), ocena nagrody zostanie ustalona na podstawie odtwarzalności i wagi podatności, a kwota nagrody może zostać znacznie zmniejszona.


            Przykłady podatności, których szukamy:

            • XSS (z wyłączeniem self-XSS).
            • CSRF (z wyłączeniem CSRF obejmującego działania bez wpływu).
            • Zdalne wykonanie kodu.
            • Ominięcie uwierzytelniania.
            • Wstrzyknięcie SQL.
            • Wyciek wrażliwych informacji.
            • LFI/RFI.
            • Eskalacja uprawnień.
            • Podatności, które mogą spowodować utratę środków lub dóbr użytkownika.
            • Podatności, które mogą spowodować zdalny wyciek poufnych danych firmy.


            Hall of Fame

            Wszystkie osoby lub podmioty, które zgłoszą podatności, za które przyznano nagrody, zostaną opublikowane, jeśli sobie tego życzą.

            Oto członkowie, którzy do dziś zgłosili zaakceptowaną podatność:

            • Ch Chakradhar
            • White Coast Security Private Limited
            • Abhishek Pal
            • Javier Andreu
            • Pratik Yadav
            • Sachin Pandey
            • Shashank Jyoti
            • Moein Abas
            • Yash Ahmed Quashim
            • Volodymyr "Bob" Diachenko
            • Fahim Ali
            • Felipe Martinez
            • Taniya & Rohan
            • Shubham Kushwaha
            • Pawan Rawat
            • Akash Hamal
            • Mehedi Hasan
            • Anchal Vij
            • Soumen Jana
            • Rohan
            • Mayank Sahu
            • Kartik Singh
            • Niket Popat


            Czy ten artykuł był pomocny?

            To wspaniale!

            Dziękujemy za opinię

            Przepraszamy, że nie udało nam się pomóc!

            Dziękujemy za opinię

            Daj nam znać, jak możemy ulepszyć ten artykuł!

            Wybierz co najmniej jeden powód
            Wymagana weryfikacja captcha.

            Wysłano opinię

            Doceniamy Twój wysiłek i postaramy się naprawić artykuł

            Podgląd
            0 z 0