एक सुरक्षित इंटरनेट के लिए मिलकर कार्य करना
Stackry दुनिया भर के सुरक्षा विशेषज्ञों के साथ मिलकर नवीनतम सुरक्षा तकनीकों के साथ अपडेट रहने के लिए प्रतिबद्ध है। यदि आपने कोई सुरक्षा समस्या खोजी है जिसके बारे में आपको लगता है कि हमें जानना चाहिए, तो हम आपके साथ काम करने के लिए स्वागत करते हैं। कृपया हमें इसके बारे में बताएं और हम उस समस्या को शीघ्रता से सुधारने के लिए हर संभव प्रयास करेंगे।
संपर्क नियम
कार्यक्रम के नियम
जबकि हम चाहते हैं कि हमारे हैकर्स अपनी पूरी क्षमता से कार्य करें, हम यह भी सुनिश्चित करना चाहते हैं कि हमारे व्यवसाय में न्यूनतम व्यवधान हो। शोध करते समय कृपया निम्न बातों का ध्यान रखें:
- एक रिपोर्ट में केवल एक ही vulnerability सबमिट करें, जब तक कि प्रभाव दिखाने के लिए vulnerabilities को जोड़ा न जाना पड़े।
- डुप्लीकेट रिपोर्ट्स होने पर केवल पहली प्राप्त रिपोर्ट को награда दी जाती है (जब तक कि इसे पूरी तरह पुनः उत्पन्न किया जा सके)।
- एक ही मूल समस्या से उत्पन्न कई vulnerabilities के लिए केवल एक बाउंटी दी जाएगी।
- सोशल इंजीनियरिंग (जैसे फिशिंग, विशिंग, स्मिशिंग) प्रतिबंधित है।
- गोपनीयता उल्लंघनों, डेटा नष्ट करने, और हमारी सेवा में बाधा या गिरावट से बचने के लिए अच्छी नीयत से प्रयास करें। केवल उन्हीं खातों के साथ इंटरैक्ट करें जिनके आप मालिक हैं या जिनके खाता धारक की स्पष्ट अनुमति हो।
- हम किसी भी यू.एस. प्रतिबंध सूची में शामिल व्यक्ति या किसी भी ऐसे देश में रहने वाले व्यक्ति के साथ व्यापार या награда प्रदान नहीं कर सकते, जिन पर यू.एस. प्रतिबंध लागू हैं। इसमें क्यूबा, सूडान, नॉर्थ कोरिया, ईरान या सीरिया के निवासी शामिल हैं।
- गंभीरता स्तर नीचे दिए गए स्कोरिंग मॉडल पर आधारित है; अपवाद केवल Stackry इंजीनियरिंग टीम के विवेकाधिकार पर दिए जाएंगे।
- केवल stackry.com डोमेन या इसके सबडोमेन से संबंधित रिपोर्टें पात्र हैं।
परीक्षण नियम
- निजी ग्राहक जानकारी तक पहुँचने का प्रयास न करें।
- कभी भी दूसरों के डेटा को देखने, संशोधित करने या नुकसान पहुँचाने का प्रयास न करें। यदि आपको कोई vulnerability टेस्ट करनी है, तो एक खाता बनाएं।
- कार्यशील PoC की पुष्टि किए बिना स्वचालित उपकरणों से रिपोर्ट न भेजें।
- कृपया बग रिपोर्ट में अपना IP पता प्रदान करें।
प्रतिक्रिया लक्ष्य
Stackry हमारे कार्यक्रम में भाग लेने वाले हैकर्स के लिए निम्नलिखित प्रतिक्रिया लक्ष्यों को पूरा करने का सर्वोत्तम प्रयास करेगा:
- पहली प्रतिक्रिया का समय (रिपोर्ट सबमिट करने के बाद) – 2 कार्यदिवस।
- ट्रायेज़ करने का समय (रिपोर्ट सबमिट करने के बाद) – 2 कार्यदिवस।
- बाउंटी देने का समय (ट्रायेज़ के बाद) – 1 कार्यदिवस (अधिकतम 2 सप्ताह)।
- समाधान का समय – 30 दिन।
सभी समय कार्यदिवसों में हैं।
गैर-योग्य कमजोरियाँ और अपवाद:
- URL में सेशन टोकन: हमें साइट पर कुछ इमेज कॉल्स में URL में सेशन टोकन के बारे में पता है।
- पासवर्ड रीसेट टोकन पहले उपयोग के बाद अमान्य हो जाते हैं, न कि अंतिम जारी होने के बाद।
- एक कॉन्फ़िग फ़ाइल में api_key नाम का एक मान है — यह सुरक्षा से संबंधित नहीं है, बल्कि केवल एक ब्रांड पहचानकर्ता है।
- साइन-अप पते वैधता की पुष्टि नहीं करता (यह रेट-लिमिटेड है)।
- नाम और सर्वर संस्करण का खुलासा।
- HTTP सुरक्षा हेडर्स गायब हैं
- गैर-संवेदनशील कुकीज़ पर कुकी फ्लैग्स गायब हैं
- प्रमाणित सेवाओं पर रेट-लिमिट्स गायब हैं, जब तक कि सेवा प्रमाणित उपयोगकर्ता से अधिक प्रभावित न कर सके
- सेवा अस्वीकृति (Denial of Service), वितरित सेवा अस्वीकृति (Distributed Denial of Service), या अन्य उपलब्धता हमले, जब तक कि वे कोड निष्पादन का परिणाम न हों
- किसी भी Stackry कार्यालय या डेटा सेंटर के खिलाफ भौतिक हमला
- सोशल इंजीनियरिंग, जैसे कि फिशिंग या कॉल करना, किसी भी Stackry कर्मचारी, ठेकेदार या एजेंट के लिए प्रतिबंधित है।
- कृपया हमें vulnerability स्कैनर का आउटपुट न भेजें। यदि यह वास्तविक बग है, तो आपको इसे पुनः उत्पन्न करने के चरण और/या प्रूफ ऑफ कॉन्सेप्ट प्रदान करना होगा। कोई भी स्वचालित रूप से सबमिट की गई रिपोर्ट बिना ट्रायेज़ किए बंद कर दी जाएगी।
- लाइब्रेरी के कमजोर संस्करण (जैसे ‘jquery’) जिनमें स्पष्ट हमला तरीका न हो।
- वेब ब्राउज़र XSS सुरक्षा सक्षम नहीं है।
- समान कमजोरियाँ/रिपोर्ट्स को अलग-अलग बाउंटी के रूप में भुगतान नहीं किया जाएगा। उदाहरण के लिए, एक ही एंडपॉइंट में कई पैरामीटर में XSS।
- Google Maps API से संबंधित कोई भी रिपोर्ट सूचनात्मक के रूप में बंद कर दी जाएगी।
- सर्वर-साइड रेट लिमिट को बर्स्ट रिक्वेस्ट्स का उपयोग करके बाइपास करना, यदि वे चल रहे सर्वरों की संख्या से अधिक नहीं हैं।
- उपयोगकर्ता क्रेडेंशियल्स की रिपोर्ट जो ऑनलाइन डेटाबेस में पाए गए हैं, जब तक कि समझौता Stackry सिस्टम की कमजोरी के कारण न हो, उन्हें सूचनात्मक के रूप में बंद किया जाएगा।
सेफ हार्बर
इस नीति के अनुसार की गई कोई भी गतिविधि अधिकृत व्यवहार मानी जाएगी और इसके लिए आपके खिलाफ कानूनी कार्रवाई नहीं की जाएगी। यदि इस नीति के तहत की गई गतिविधियों के संबंध में कोई तृतीय पक्ष आपके खिलाफ कानूनी कार्रवाई करता है, तो हम यह सुनिश्चित करने के लिए कदम उठाएंगे कि आपकी कार्रवाई इस नीति का पालन करते हुए की गई थी।
वर्गीकरण और पुरस्कार
हमारे पुरस्कार P1 से P5 तक गंभीरता स्तर कारक पर आधारित होते हैं। कृपया ध्यान दें कि ये सामान्य दिशानिर्देश हैं, और पुरस्कार निर्णय Stackry.com के विवेकाधिकार पर निर्भर करते हैं। स्कोरिंग के लिए हम निम्नलिखित वर्गीकरण का उपयोग करते हैं Bugcrowd कमजोरी रेटिंग वर्गीकरण प्रणाली हालांकि यह केवल एक सामान्य दिशानिर्देश है।
ध्यान दें: पुरस्कार भुगतान केवल PayPal के माध्यम से किए जाते हैं।
| Priority |
Impact |
Examples |
Reward |
| P1 – Critical |
Vulnerabilities that cause a privilege escalation from unprivileged to admin or allow for remote execution, financial theft, etc.
|
- Remote Code Execution
- Vertical Authentication Bypass
- XML External Entities Injection with significant impact
- SQL Injection with significant impact
|
$2,000+ |
| P2 – High |
Vulnerabilities that affect the security of the platform including the processes it supports
|
- Lateral authentication bypass
- Stored XSS with significant impact
- CSRF with significant impact
- Direct object reference with significant impact
- Internal SSRF
|
$1,000+ |
| P3 – Medium |
Vulnerabilities that affect multiple users and require little or no user interaction to trigger
|
- Reflective XSS with impact
- Direct object reference
- URL redirect
- CSRF with impact
|
$500+ |
| P4 – Low |
Vulnerabilities that affect singular users and require interaction or significant prerequisites (MitM) to trigger |
- SSL misconfigurations with little impact
- SPF configuration problems
- XSS with limited impact
- CSRF with limited impact
|
$100+ |
| P5 – Acceptable Risk |
Non-exploitable vulnerabilities in functionality. Vulnerabilities that are by design or are deemed acceptable business risk to the customer |
- Debug information
- Use of CAPTCHAs
- Code obfuscation
- Rate limiting, etc.
|
Not typically eligible for a reward |
बग रिपोर्ट ईमेल के माध्यम से भेजी जानी चाहिए Stackry सहायता।
