+1 781-491-0874
support@stackry.com
Calculadora de Envio
Portuquês

Programa de Recompensa por Bugs

Trabalhando juntos por uma internet mais segura

A Stackry está comprometida em trabalhar com especialistas em segurança de todo o mundo para se manter atualizada com as técnicas de segurança mais recentes. Se você descobriu um problema de segurança que acredita que deveríamos saber, ficaremos felizes em trabalhar com você. Por favor, nos informe sobre o problema e faremos todo o possível para corrigi-lo rapidamente.

Regras de Engajamento

Regras do Programa

Embora queiramos que nossos hackers desempenhem o seu melhor, também queremos garantir que haja o mínimo de interrupção em nossos negócios. Enquanto a pesquisa estiver sendo realizada, por favor, certifique-se de que o seguinte:

  • Envie uma vulnerabilidade por relatório, a menos que seja necessário encadear vulnerabilidades para fornecer impacto.
  • Quando houver duplicatas, recompensaremos apenas o primeiro relatório recebido (desde que possa ser completamente reproduzido).
  • Várias vulnerabilidades causadas por um único problema subjacente serão premiadas com uma única recompensa.
  • Engenharia social (ex.: phishing, vishing, smishing) é proibida.
  • Faça um esforço de boa fé para evitar violações de privacidade, destruição de dados e interrupção ou degradação de nosso serviço. Interaja apenas com contas que você possui ou com a permissão explícita do titular da conta.
  • Não podemos recompensar ou fazer negócios com qualquer indivíduo que esteja em listas de sanções dos EUA ou qualquer indivíduo residente em um país listado nas sanções dos EUA. Isso inclui residentes de Cuba, Sudão, Coreia do Norte, Irã ou Síria.
  • O nível de gravidade é baseado no modelo de pontuação descrito abaixo; exceções são concedidas a critério exclusivo da equipe de engenharia da Stackry.
  • Somente relatórios referentes ao domínio stackry.com ou seus subdomínios são elegíveis.

Regras de Teste

  • Não tente acessar informações privadas de clientes
  • Nunca tente visualizar, modificar ou danificar dados pertencentes a terceiros. Se precisar testar uma vulnerabilidade, crie uma conta.
  • Não envie relatórios de ferramentas automatizadas sem verificar um PoC funcional.
  • Por favor, forneça seu endereço IP no relatório de bug.

Metas de Resposta

A Stackry fará o melhor esforço para atender às seguintes metas de resposta para hackers que participam do nosso programa:

  • Tempo para a primeira resposta (a partir do envio do relatório) – 2 dias úteis
  • Tempo para triagem (a partir do envio do relatório) – 2 dias úteis
  • Tempo para recompensa (a partir da triagem) – 1 dia útil (máximo de 2 semanas)
  • Tempo para resolução – 30 dias

Todos os tempos estão em dias úteis.

Vulnerabilidades Não Qualificadas e Exclusões:

  • Token de sessão na URL: Sabemos sobre o token de sessão na URL em algumas chamadas de imagem no site.
  • Tokens de redefinição de senha são invalidados após o primeiro uso, não após o último emitido.
  • Há um valor em um arquivo de configuração chamado api_key – não está relacionado à segurança, é apenas um identificador de marca.
  • Cadastro não validando endereços (é limitado por taxa).
  • Divulgação de nome e versão do servidor.
  • Faltando cabeçalhos de segurança HTTP.
  • Faltando flags de cookie em cookies não sensíveis.
  • Faltando limites de taxa em serviços autenticados, a menos que o serviço possa impactar mais do que o usuário autenticado.
  • Negação de serviço, negação de serviço distribuída ou outros ataques de disponibilidade, a menos que sejam resultado de execução de código.
  • Ataques físicos contra qualquer escritório ou data center da Stackry.
  • Engenharia social, por exemplo, phishing ou ligações, de qualquer funcionário, contratado ou agente da Stackry.
  • Por favor, não nos envie saídas de ferramentas de scanner de vulnerabilidades. Se for um bug real, você deve fornecer etapas para reproduzir e/ou uma prova de conceito. Quaisquer relatórios automatizados enviados serão fechados sem triagem.
  • Versão vulnerável de bibliotecas (por exemplo, ‘jquery’) sem vetor de ataque demonstrável.
  • Proteção XSS no navegador da web não ativada.
  • Fraquezas/similares relatórios não serão pagos como recompensas separadas. Por exemplo, XSS em múltiplos parâmetros no mesmo endpoint.
  • Google Maps API: Quaisquer relatórios sobre a API do Google Maps serão fechados como informativos.
  • Contornar limites de taxa do lado do servidor usando requisições em rajada, se não excederem o número de servidores em execução.
  • Relatórios de credenciais de usuário encontradas em um banco de dados online de pares de nome de usuário/senha comprometidos, a menos que o compromisso tenha sido devido a uma vulnerabilidade do sistema Stackry, serão fechados como informativos.

Abrigo Seguro

Quaisquer atividades realizadas de maneira consistente com esta política serão consideradas conduta autorizada e não tomaremos nenhuma ação legal contra você. Se uma ação legal for iniciada por terceiros contra você em conexão com atividades realizadas sob esta política, tomaremos medidas para deixar claro que suas ações foram conduzidas em conformidade com esta política.

Classificação e Recompensas

Nossas recompensas são baseadas em um fator de escala de gravidade, de P1 a P5. Observe que estas são diretrizes gerais, e as decisões sobre recompensas ficam a critério da Stackry.com. Como ponto de referência para pontuação, usamos a seguinte taxonomia Taxonomia de Classificação de Vulnerabilidades do Bugcrowd embora seja apenas uma diretriz geral.

Observação: Pagamentos de recompensa são feitos apenas via Paypal.


Prioridade Impacto Exemplos Recompensa
P1 – Crítico Vulnerabilidades que causam uma escalada de privilégios de usuário não privilegiado para administrador ou permitem execução remota, roubo financeiro, etc.
  • Execução Remota de Código
  • Bypass de Autenticação Vertical
  • Injeção de Entidades Externas XML com impacto significativo
  • Injeção SQL com impacto significativo
 $2,000+
P2 – Alto Vulnerabilidades que afetam a segurança da plataforma, incluindo os processos que ela suporta.
  • Bypass de autenticação lateral
  • XSS armazenado com impacto significativo
  • CSRF com impacto significativo
  • Referência direta a objetos com impacto significativo
  • SSRF interna
 $1,000+
P3 – Médio Vulnerabilidades que afetam múltiplos usuários e exigem pouca ou nenhuma interação do usuário para serem acionadas.
  • XSS refletido com impacto
  • Referência direta a objetos
  • Redirecionamento de URL
  • CSRF com impacto
 $500+
P4 – Baixo Vulnerabilidades que afetam usuários individuais e exigem interação ou pré-requisitos significativos (como um ataque Man-in-the-Middle) para serem acionadas.
  • Miscalibrações de SSL com pouco impacto
  • Problemas de configuração de SPF
  • XSS com impacto limitado
  • CSRF com impacto limitado
 $100+
P5 – Risco Aceitável Vulnerabilidades não exploráveis na funcionalidade. Vulnerabilidades que são de design ou consideradas um risco comercial aceitável para o cliente.
  • Informações de depuração
  • Uso de CAPTCHAs
  • Ofuscação de código
  • Limitação de taxa, etc.
 Normalmente, não são elegíveis para uma recompensa.

Os relatórios de bugs devem ser enviados por e-mail para Suporte da Stackry.

Estamos orgullosos de asociarnos con

NOSSA EMPRESA
Sobre a Stackry
Quem usa a Stackry
Como funciona
Manuseio adicional e serviços
Recompensas
Indique um amigo
Política de privacidade
Política de cookies
Termos e condições
SAIBA MAIS
Consolidação de pacotes
Reembalagem
Proteção de pacote
Itens que você não pode enviar
Itens com manuseio restrito e especial
Como os custos de envio são calculados
Opções de envio internacional
Parceiros de varejo
Perguntas frequentes
Relatórios de vulnerabilidade
CONTATE-NOS
Amherst St Nashua, NH
+1 781-491-0874
support@stackry.com
9h00 - 17h00 EST
Links de mídias sociais
Pagamentos seguros com:
© 2012-2024 Stackry, LLC