Bug Bounty Programı
BelHost, güvenlik araştırmacılarından gelen sorumlu açıklamaları memnuniyetle karşılar. Uygun tüm raporları inceliyor ve geçerli açıklar için ödül teklif edebiliyoruz.
Genel Bakış
Sistemlerimizin güvenliğini en yüksek öncelik olarak kabul ediyoruz. Hiçbir sistem mükemmel değildir ve her teknolojide her zaman kusurlar olabilir. Müşterilerimizi korumak için nitelikli güvenlik araştırmacılarıyla çalışmayı sabırsızlıkla bekliyoruz.
Ürünümüzde veya hizmetimizde bir güvenlik sorunu tespit ettiğinize inanıyorsanız bizi bilgilendirmenizi teşvik ediyoruz.
Sorumlu açıklama yönergeleri
- Olası bir güvenlik sorununu keşfettiğinizde bize mümkün olan en kısa sürede bildirin; sorunu hızla çözmek için elimizden geleni yapacağız.
- Kamuya veya üçüncü bir tarafa açıklamadan önce sorunu çözmemiz için makul bir süre tanıyın.
- Yetkisiz kimlik taklidi yasaktır: bir BelHost çalışanını, başka bir araştırmacıyı veya güvenlik ekibini taklit ederek başka bir tarafa sosyal mühendislik uygulamaya yönelik herhangi bir girişim kabul edilmeyecektir.
- Bu yönergelerde belirtilen tüm koşullara uyarsanız, raporunuzla ilgili olarak size karşı herhangi bir yasal işlem başlatmayacağız.
- Raporunuz gizli tutulacaktır. Kişisel bilgilerinizi, yasal bir yükümlülüğe uymak için gerekli olmadıkça, önceden izin almadan üçüncü taraflarla paylaşmayacağız.
Ödüller
Minnettarlığımızı göstermek için BelHost, nitelikli güvenlik açığı raporları için ödüller sunmaktadır. Ödüller mali tazminat veya BelHost ürünleri olarak verilebilir. Ödül miktarı BelHost'un takdirine bağlıdır ve açıklanan güvenlik açığının dahili önem derecesi değerlendirmesine göre belirlenir. Ödül, iç ekiplerimiz tarafından doğrulandıktan sonra iletilecektir.
Uygunluk
Ödül kazanmak için şunları yapmalısınız:
- Güvenlik açığını bildiren ilk kişi olmak.
- Bu sayfada açıklanan yönergelere uymak.
- Güvenlik açığını çözümümüzden önce kamuoyuna açıklamamak.
- Güvenlik sorununu açıklayan çalışan bir kavram kanıtı sunmak.
- Yalnızca kendi oluşturduğunuz hesapları kullanmak ve diğer kullanıcıların verilerine erişmemek.
- Özel Olarak Belirlenmiş Vatandaşlar ve Engellenen Kişiler (SDN) listesindeki herhangi bir ülkenin sakini olmamak.
- AB mali yaptırımlarına tabi kişi, grup ve kuruluşların Konsolide Listesindeki herhangi bir ülkenin sakini olmamak.
Kesin istisnalar
Aşağıdaki kategoriler kapsam dışındadır ve genellikle yanıt almayacaktır.
Sosyal ve fiziksel saldırılar
- Sosyal mühendislik (phishing dahil)
- BelHost mülküne veya veri merkezlerine yönelik fiziksel girişimler
- Altyapıya fiziksel saldırı
Kullanılabilirlik ve kötüye kullanım testleri
- Hizmet reddi
- Kaba kuvvet
- Otomatik araç ve taramalardan gelen raporlar
- Eksik hız sınırları
Düşük sinyalli web sorunları
- CSRF
- Self-XSS
- Clickjacking ve yalnızca clickjacking yoluyla istismar edilebilen sorunlar
- Hata sayfalarında içerik sahteciliği veya metin enjeksiyonu
- Homograf saldırıları
- Açık yönlendirmeler
- Zayıf CAPTCHA / CAPTCHA atlatma
- Önbellek ile ilgili sorunlar
Yalnızca yapılandırma ve başlık bulguları
- X-Frame-Options ile ilgili
- Eksik çerez bayrakları
- Doğrudan bir güvenlik açığına yol açmayan eksik güvenlik başlıkları
- Eksik
noreferrer,noopener - DKIM/SPF/DMARC sorunları
- Sürüm açığa çıkması
- Dizin listeleme
- SSL sorunları
- OPTIONS HTTP yöntemi etkin
- Sunucu IP açığa çıkması
Hesap ve kimlik doğrulama kenar durumları
- Kimlik doğrulama oturumu zaman aşımları (oturumlar 1 saatlik zaman aşımıyla IP'ye bağlıdır)
- 2FA TOTP kodu yeniden kullanımı
- Kaba kuvvetle kullanıcı sayımı
- E-posta onayı olmadan 2FA etkinleştirme
- E-posta değişikliği veya 2FA'da şifre doğrulama
- Şifre politikası
- Kullanıcının bilgisayarına erişim gerektiren herhangi bir saldırı (fiziksel veya uzaktan)
Üçüncü taraf ve ilgisiz yazılım
- Üçüncü taraf yazılımlarındaki hatalar
- WordPress güvenlik açıkları
- Her türlü tarayıcı güvenlik açığı
- Ödeme işlemcileri için parametre kurcalama
Nasıl bildirilir
Lütfen ilk bulgularınızı şu adrese gönderin:
[email protected]