Dimar FZC LLC
Flamingo Villas A-32-01-05-03 25314 United Arab Emirates, Ajman
+971585072431, /assets/img/icons/logo/logo.svg, [email protected]
Kostenloser Preis
Kostenloser Preis
Wir verwenden Cookies

It's safe, as cookies are only stored on your device. If you don't mind, click "Accept all cookies" or continue browsing the site. Personal data processing policy.

Nummern für SMS
Haben Sie den von Ihnen benötigten Service nicht gefunden?
Auswählen eines Dienstes
Unsere Partner und mehr
Logo
Verdienen Sie Geld mit SIM-Karten! Partnerschaft mit sms-activate
Logo
Offizieller Telegram-Bot
Logo
Marktplatz für vorgefertigte Konten

Infrastruktur, Webdienste, SMS-aktivierte Apps

Sie müssen Schwachstellen in Infrastruktur, Diensten und Anwendungen finden, die mit privaten Daten umgehen. Das Jagdgebiet: Domains, mobile und Desktop-Anwendungen.
Melden Sie einen Fehler
Bug-Hunter-Bild

Teilnahmebedingungen für das Bug Bounty-Programm

Willkommen beim Bug Bounty-Programm! Ihre Teilnahme trägt dazu bei, die Sicherheit unserer Produkte und Dienstleistungen zu verbessern. Bitte machen Sie sich mit den folgenden Regeln vertraut, um eine effektive und ethische Zusammenarbeit sicherzustellen

Registrierung und Verifizierung

  • Anmeldung: Um an dem Programm teilnehmen zu können, müssen Sie sich zunächst auf der Website anmelden sms-activate.at Geben Sie während des Registrierungsprozesses Ihr Telegram-Konto an, um die Kommunikation zu erleichtern.
  • Überprüfung: Um Zahlungen zu erhalten, müssen Sie den Verifizierungsprozess durchlaufen. Detaillierte Anweisungen werden Ihnen per Telegram zugesandt, sobald Ihr Bericht genehmigt wurde.

Bereitstellung von Berichten

  • Studieren der Regeln: Bitte machen Sie sich vor Abgabe Ihrer Meldung mit den Teilnahmeregeln und den in Betracht kommenden Schwachstellenarten vertraut;
  • Meldeformular: Nutzen Sie das Formular auf der Seite sms-activate.at/bugbountyForm um Ihren Bericht einzureichen. Ihr Bericht sollte eine klare Beschreibung der Schwachstelle, Schritte zu deren Reproduktion, Beweise (Screenshots, Videos) und Empfehlungen zur Behebung der Schwachstelle enthalten;
  • Zusätzliche Dateien: Hängen Sie ggf. zusätzliche Dateien an, um die Schwachstelle zu bestätigen.

Prozess der Überprüfung von Berichten

Ihre Meldung wird von unseren Sicherheitsspezialisten sorgfältig analysiert. Dieser Vorgang kann bis zu drei Monate dauern. Während dieser Zeit kann der Bericht einen der folgenden Status erhalten: „Ausstehend“, „Sortiert“, „Vom Moderator abgelehnt“, „Weitere Informationen erforderlich“ und andere.

Arten von Schwachstellen

IN Sie finden eine Liste der Schwachstellentypen, die nicht für den Erhalt einer Belohnung in Frage kommen. In Es werden Kriterien zur Beurteilung der Wichtigkeit einer Schwachstelle festgelegt.

Verifizierung und Datenschutz

Alle von Ihnen zur Überprüfung angegebenen personenbezogenen Daten werden ausschließlich zu Identifikationszwecken verwendet und nicht ohne Ihr Einverständnis an Dritte weitergegeben. Wir tun unser Bestes, um den Datenschutz und die Sicherheit Ihrer Daten zu gewährleisten.

Zahlungen

Nach erfolgreicher Überprüfung und Bestätigung der Schwachstelle wird Ihnen eine Belohnung ausgelobt. Die Höhe der Belohnung richtet sich nach der Wichtigkeit der Schwachstelle und der Qualität des bereitgestellten Berichts.

Ethische Normen

Wir erwarten von den Teilnehmern, dass sie verantwortungsbewusst und ethisch handeln. Es ist nicht gestattet, gefundene Schwachstellen auszunutzen, um Schaden anzurichten, sich unbefugten Zugriff auf Daten oder Systeme zu verschaffen oder Informationen über die Schwachstelle zu verbreiten, bis diese behoben ist.

Abschluss

Wir schätzen Ihren Beitrag zur Verbesserung der Sicherheit unserer Produkte und Dienstleistungen. Ihre Teilnahme trägt dazu bei, einen sichereren digitalen Raum für uns alle zu schaffen.
Wir wünschen Ihnen viel Erfolg bei der Suche nach Schwachstellen! Ihr Beitrag ist von unschätzbarem Wert, daher sind wir dankbar für Ihre Hilfe bei der Sicherung unserer Systeme.

Anhang A

Arten von Schwachstellen, die nicht Gegenstand einer Belohnung sind (Schwachstellen geringer Stufe, deren Ausnutzung keine kritischen Folgen hat, einschließlich):
  • TROCKEN (Meldungen über diese Art von Schwachstelle werden nur bei hoher Kritikalität akzeptiert; die Kritikalität wird von unserem Spezialisten bei Bestätigung der Schwachstelle bestimmt);
  • Jede Art von XSS-Schwachstellen, mit Ausnahme von Stored XSS (Gespeicherte XSS-Schwachstellenberichte werden abhängig von der Wichtigkeit der Webressource akzeptiert);
  • Clickjacking;
  • Unsicherer Weiterleitungs-URI;
  • Verzeichnisliste aktiviert (Passwörter, Backups) und Offenlegung sensibler Daten (abhängig von den offengelegten Daten; Meldungen zu dieser Schwachstelle werden akzeptiert, wenn kritische Daten gefunden werden);
  • Debug-Modus aktiviert, das keine kritischen Daten preisgibt;
  • CSRF-Schwachstellen, innerhalb einer Funktion gefunden, die nicht kritisch ist;
  • Offenlegung des Admin-Panels (wenn der Bug-Jäger das Admin-Dashboard findet, aber nicht in der Lage ist, eine Kontoübernahme durchzuführen oder andere wichtige Informationen zu erhalten);
  • Benutzeraufzählung ohne Offenlegung kritischer Daten;
  • Sicherheitsfehlkonfiguration, falls es keine Beweise dafür gibt, dass die Bedrohung erkannt wurde;
  • Die Erbringung von Dienstleistungen verweigern;
  • Spam;
  • Social Engineering, richtet sich an Mitarbeiter, Auftragnehmer oder Kunden;
  • Alle physischen Versuche, sich Zugang zu Eigentum oder Datenzentren zu verschaffen
  • Systembesitzer;
  • Bericht, der mithilfe automatisierter Tools und Scans erstellt wurde;
  • Fehler in der Software eines Drittanbieters;
  • Fehlen von Sicherheitsheadern die nicht direkt zu einer Sicherheitslücke führen;
  • SSL-/TLS-Vertrauensverletzung;
  • Sicherheitslücken, die nur Benutzer veralteter oder nicht lizenzierter Browser und Plattformen betreffen;
  • Richtlinien zur Passwort- und Kontowiederherstellung, wie zum Beispiel das Ablaufdatum eines Reset-Links oder die Passwortstärke;
  • Veralteter DNS-Eintrag, Verweis auf ein System, das nicht dem Systembesitzer gehört.

Inhalt

Anhang B

Arten von Schwachstellen nach Schweregrad:
Verletzlichkeit
Niedrig
Medium
Hoch
Pfaddurchquerung
10
40
70
Verzeichnisliste aktiviert
10
40
Unsicherer Weiterleitungs-URI
5
10
Clickjacking
5
Brutale Gewalt
5
SQL-Injection (leere Datenbank, nützliche Datenbank)
10
40
70
XML-Injektion externer Entitäten
50
70
Lokale Dateieinbindung
50
Remote-Codeausführung
10
50
100
Authentifizierungsumgehung
50
90
Kontoübernahme
50
90
Unsichere direkte Objektreferenzen
10
Gespeichertes XSS
20-30
Reflektiertes XSS
10-20
Serverseitige Anfrage
40-60
Fälschung standortübergreifender Anfragen
10-20
Rennbedingung
10
90
Serverseitige Vorlageninjektion
20
80
Pfaddurchquerung
Niedrig
10
Medium
40
Hoch
70
Verzeichnisliste aktiviert
Niedrig
10
Medium
40
Hoch
Unsicherer Weiterleitungs-URI
Niedrig
5
Medium
10
Hoch
Clickjacking
Niedrig
5
Medium
Hoch
Brutale Gewalt
Niedrig
5
Medium
Hoch
SQL-Injection (leere Datenbank, nützliche Datenbank)
Niedrig
10
Medium
40
Hoch
70
XML-Injektion externer Entitäten
Niedrig
Medium
50
Hoch
70
Lokale Dateieinbindung
Niedrig
Medium
50
Hoch
Remote-Codeausführung
Niedrig
10
Medium
50
Hoch
100
Authentifizierungsumgehung
Niedrig
Medium
50
Hoch
90
Kontoübernahme
Niedrig
Medium
50
Hoch
90
Unsichere direkte Objektreferenzen
Niedrig
10
Medium
Hoch
Gespeichertes XSS
Niedrig
20-30
Medium
Hoch
Reflektiertes XSS
Niedrig
10-20
Medium
Hoch
Serverseitige Anfrage
Niedrig
Medium
40-60
Hoch
Fälschung standortübergreifender Anfragen
Niedrig
10-20
Medium
Hoch
Rennbedingung
Niedrig
10
Medium
Hoch
90
Serverseitige Vorlageninjektion
Niedrig
20
Medium
Hoch
80

Punkte entsprechend der kritischen Schwachstellenstufe werden wie folgt vergeben:

  1. Geringe Wichtigkeit – von 0 bis 30 Punkten;
  2. Mittlerer Wichtigkeitsgrad – von 31 bis 60 Punkten;
  3. Hoher Wichtigkeitsgrad – von 61 bis 100 Punkten.
  • sms-activate.at
  • hstock.org
  • ipkings.io

Belohnungen

Die Höhe der Belohnung hängt von der Kritikalität der Schwachstelle, der Einfachheit der Ausnutzung und den Auswirkungen auf Benutzerdaten ab. Der Grad der Kritikalität wird häufig gemeinsam mit den Entwicklern festgelegt und kann längere Zeit in Anspruch nehmen.
Verletzlichkeit
Belohnen
Remote-Codeausführung (RCE)
$1500 - $5000
Zugriff auf lokale Dateien und andere (LFR, RFI, XXE)
$500 - $3000
Injektionen
$500 - $3000
Cross-Site Scripting (XSS), ausgenommen Self-XSS
$100 - $500
SSRF, mit Ausnahme der Blinden
$300 - $1000
Blinde SSRF
$100 - $500
Speicherlecks / IDORs / Offenlegung von Informationen mit geschützten persönlichen Daten oder sensiblen Benutzerinformationen
$70 - $1150
Weitere bestätigte Schwachstellen
Hängt von der Kritikalität ab
Betroffen sind alle SMS-Activate-Apps, die mit Benutzerdaten umgehen. Unsere Bewerbungen finden Sie in Google Play Und App Store mit dem Namen SMS-Activate

Apps

Verletzlichkeit
Belohnen
Remote-Codeausführung (RCE)
$1500 - $5000
Zugriff auf lokale Dateien und andere (LFR, RFI, XXE)
$500 - $3000
Injektionen
$500 - $3000
SSRF, mit Ausnahme der Blinden
$300 - $1000
Blinde SSRF
$100 - $500
Speicherlecks / IDORs / Offenlegung von Informationen mit geschützten persönlichen Daten oder sensiblen Benutzerinformationen
$70 - $1150
Cross-Site Request Forgery (СSRF, Flash Crossdomain Requests, CORS)
$35 — $300
Weitere bestätigte Schwachstellen
Hängt von der Kritikalität ab
{{ texts.noFundsInfo }}
{{texts.replenishment}}

{{ texts.verificationVoiceTextFirst }}

{{ texts.verificationVoiceTextSecond }}

{{ texts.verificationVoiceTextThird }}