search
X👾💡🎒

Bug Bounty Program

📢 Отправляйте свои отчеты и найдите полную информацию на нашей странице Hackenproof: 🔗 Backpack Web & API Bug Bounty @ Hackenproofarrow-up-right

hashtag
Правила

Вознаграждения разделены на пять уровней в зависимости от серьезности выявленных уязвимостей.

Суммы вознаграждений следующие:

  • Critical: $10,000 - $100,000 USD

  • High: $5,000 - $10,000 USD

  • Medium: $500 - $5000 USD

  • Low: $50 - $500 USD

После принятия вашего отчета об ошибке или уязвимости вознаграждения будут выплачены в USDC. Обратите внимание, что уровень угрозы будет оценен командой безопасности Backpack, и Backpack оставляет за собой исключительное право определять, соответствует ли отчет критериям вознаграждения.

hashtag
Область уязвимостей‎

Следующие модули находятся в области программы bug bounty:

hashtag
Критерии

Отчеты должны быть сосредоточены на следующих типах уязвимостей:

  • Проблемы с бизнес-логикой, которые могут привести к потере активов пользователей.

  • Манипуляции с платежами.

  • Удаленное выполнение кода (RCE).

  • Утечка конфиденциальной информации.

  • Критические проблемы OWASP, такие как XSS, CSRF, SQLi, SSRF, IDOR и аналогичные уязвимости.

  • Другие уязвимости, которые могут привести к потенциальным потерям.

hashtag
Исключения

Следующие проблемы не входят в область программы bug bounty:

  • Теоретические уязвимости, которые не были доказаны.

  • Недостатки в кодах подтверждения электронной почты, просроченных ссылках сброса пароля и политиках сложности пароля.

  • Кликджекинг и перенаправление UI с незначительным влиянием на безопасность.

  • Уязвимости в сторонних приложениях или программном обеспечении.

  • Эксплойты нулевого дня возрастом менее 30 дней.

  • Социальная инженерия и фишинговые атаки.

  • Атаки типа "отказ в обслуживании" (DoS).

  • Перечисление информации об электронной почте, номере телефона или имени пользователя.

  • Известные проблемы, дублирующие отчеты или уже раскрытые уязвимости.

  • Физические атаки.

  • Уязвимости, которые могут быть использованы только в старых версиях браузеров или платформ.

  • Использование известных уязвимостей кодовой базы без фактического доказательства.

  • Отсутствие флагов безопасности в cookies.

  • Проблемы, связанные с небезопасными сокетами SSL/TLS или версиями протокола.

  • Обман на основе контента.

  • Проблемы управления кэшем.

  • Утечки внутренних IP или доменных имен.

  • Отсутствующие заголовки безопасности, которые не могут быть непосредственно использованы.

  • Проблемы CSRF с незначительным влиянием (такие как добавление в избранное, добавление в корзину, подписка и т.д.)

  • Проблемы без какого-либо влияния на безопасность.

По любым вопросам или для отправки отчетов, пожалуйста, свяжитесь с нами по адресу [email protected]envelope.

Мы с нетерпением ждем вашего участия и благодарим вас за помощь в поддержании безопасной и надежной торговой среды.

PreviousSeeker Season CampaignNextAPI и Документация для разработчиков