Richiedi Supporto  | Contatta Vendite  | Accesso 1Stack

    • Bugs-Programm
    CoreTech Bug Bounty Program

    CoreTech arbeitet hart an der Sicherheit, um den Dienst so sicher wie möglich zu halten, aber wir wissen, dass einige Bugs noch nicht entdeckt wurden.
    Wenn du glaubst, ein Sicherheitsproblem in den in unserem Scope aufgeführten Dienstleistungen gefunden zu haben (TARGET), werden wir mit dir zusammenarbeiten, um es prompt zu lösen und sicherzustellen, dass du fair für deine Entdeckung belohnt wirst.

    Qualifizierende Schwachstellen | Legende

    Min € Max € Typ
    Ruhmeshalle Niedrig 1-2-3-4
    Blinde Schwachstelle, Möglichkeit, die Schwachstelle für Phishing auszunutzen
    50 € 300 € Mittel 5-6
    Anzeigen oder Stehlen durch einen einzelnen Benutzer (unsystematisch), Systemverlangsamungen (Servermaschine), Daten entschlüsseln, Anwendungsdaten anzeigen
    300 € 800 € Hoch 7-8-9
    Zugang zu sensiblen Daten aller Benutzer, Zugang oder Diebstahl von Daten eines Zielbenutzers oder mehrerer Benutzer, Zugang zu wichtigen Systemdaten
    800 € 2000 € Kritisch 10
    Kritischer Zugang zu Systemen, Fähigkeit, Server zu verschlüsseln, großer Schaden für die Gesellschaft

    CoreTech kann Belohnungen für berechtigte Reporter qualifizierender Schwachstellen bereitstellen. Die Belohnungsbeträge variieren je nach Schweregrad der gemeldeten Schwachstelle.
    CoreTech behält sich das Recht vor, zu entscheiden, ob die Mindestschwelle für den Schweregrad erreicht ist und ob der Scope des gemeldeten Bugs tatsächlich bereits durch eine zuvor gemeldete Schwachstelle abgedeckt ist. Belohnungen werden vollständig nach Ermessen von CoreTech gewährt. Um für eine Belohnung unter diesem Programm zu qualifizieren, solltest du
    Wenn die gemeldete Schwachstelle nach Bewertung durch das CoreTech-Personal nicht zu den bezahlten gehört, wird eine Punktzahl zugewiesen, die in der Ruhmeshalle eingesehen werden kann. Bei Erreichen von 50 CoreTech-Punkten wird es möglich sein, einen wirtschaftlichen Preis im Wert von 50 Euro einzulösen.
    Wenn du eine Schwachstelle melden möchtest oder die von dir entdeckte Schwachstelle nicht unter den im Bug Bounty-Programm angegebenen enthalten ist, lass es uns wissen. Wir werden sorgfältig in Betracht ziehen, sie auf der Programmspezifikationsseite einzuschließen.

    Reward Payment

    Wir zahlen nach:

    • Bank Transfer

    Qualifying Vulnerabilities

    Typ Description Risikolevel
    Datei-Injektion
    • Einfügung der anfälligen Datei ohne dann die Möglichkeit, sie zu erreichen
    • Die eingefügte Datei kann von außen erreicht werden
    • Die eingefügte Datei ist extern ausführbar
    • Eingefügte Datei erlaubt verschiedene Eskalation
    • Eingefügte Datei erlaubt es, Remote-Konsolen einzufügen und / oder die Site zu modifizieren
    • 3 or 4
    • 4 or 5
    • 7 or 8
    • 8 or 9
    • 9 or 10
    Broken Authentication
    • Einzelne Benutzerdaten erreichen
    • Sensible Daten des einzelnen Benutzers erreichen
    • Modifikation / Löschung von einzelnen Benutzerdaten
    • Zugang zu Kreditkarten oder Informationen, die dem Benutzer schaden können
    • Benutzerdaten aller Benutzer erreichen
    • Sensible Benutzerdaten aller Benutzer erreichen
    • Alle Benutzerdaten ändern / löschen
    • Zugang zu Kreditkarten oder Informationen, die allen Benutzern schaden können
    • 5 or 6
    • 6 or 7
    • 6 or 7
    • 7 or 8
    • 6 or 7
    • 7 or 8
    • 7 or 8
    • 9 or 10
    Veröffentlichung sensibler Daten
    • Zugang zu allen Anwendungscodes
    • Teilweiser Zugang zum Anwendungscode
    • Zugang zu vertraulichen Daten anderer Benutzer
    • Zugang zu vertraulichen Daten eines ausgewählten Benutzers
    • Access to system logs
    • Access to user logs
    • Zugang zu den Logs des ausgewählten Benutzers
    • Various configuration
    • SQL errors
    • SQL-Fehler mit wichtiger Datenvisualisierung
    • Backend-Sprachfehler
    • Backend-Sprachfehler mit Datenvisualisierung
    • Inaktive oder potenzielle Schwachstellen
    • 6 or 7
    • 4 or 5
    • 5 or 6
    • 6 or 7
    • 5 or 6
    • 5 or 6
    • 5 or 6
    • 2 or 3
    • 2 or 3
    • 4 or 5
    • 1 or 2
    • 3 or 4
    • 0 or 1
    Vulnerable and Outdated Components
    • Inaktive oder potenzielle Schwachstellen
    • In der Anwendung verifizierte Schwachstellen
    • 0 or 1
    • 4 or 5
    Command Injection
    • Fähigkeit, alle Befehle beliebig zu starten
    • Möglichkeit, nur einige schädliche Befehle zu starten
    • Möglichkeit, auf alle Funktionen der Maschine zuzugreifen
    • Blinde Command Injection: Nur Testbefehle wie sleep oder ping
    • 8 or 9
    • 7 or 8
    • 9 or 10
    • 3 or 4
    SQL Injection
    • Blinde SQL Injection
    • Generierung des SQL-Fehlers
    • Möglichkeit der Eskalation und Zugang zur Datenbank
    • Fähigkeit, Daten zu löschen
    • Fähigkeit, Daten anzusehen
    • Fähigkeit, sensible Daten anzusehen
    • Möglichkeit, die Daten zu modifizieren
    • 3 or 4
    • 3 or 4
    • 9 or 10
    • 6 or 7
    • 6 or 7
    • 7 or 8
    • 6 or 7
    Kryptografische Fehler
    • Nur entschlüsselte Daten (an den Client gesendet)
    • Alle Daten entschlüsselt (an Client gesendet)
    • Entschlüsselung sensibler Datenbankdaten
    • Anzeige von Daten, die verschlüsselt sein sollten
    • Methode, um alle Daten mit der App zu entschlüsseln
    • 4 or 5
    • 5 or 6
    • 5 or 6
    • 3 or 4
    • 5 or 6
    Broken Access Control
    • Fähigkeit, alle Benutzerpasswörter zu erhalten
    • Umgehung des Passworts oder Benutzernamens
    • Login configuration error
    • Möglichkeit, das Passwort einer begrenzten Gruppe von Benutzern zu erhalten
    • Über Single-User SQL Injection
    • Durch einen Single-User-Designfehler
    • 8 or 9
    • 7 or 8
    • 7 or 8
    • 7 or 8
    • 5 or 6
    • 6 or 7
    XSS und Andere
    • Blinde XSS
    • XSS mit Session-Diebstahl
    • XSS mit GUI-Modifikation
    • XSS mit Hinzufügung von Texten in Formaten, die mit der Site übereinstimmen
    • XSS mit Diebstahl sensibler Daten
    • XSS-Verlangsamungen für den Benutzer
    • XSS mit Verlangsamungen für die Systeme
    • Gespeicherte blinde XSS
    • Gespeicherte XSS mit Session-Diebstahl
    • Gespeicherte XSS mit GUI-Modifikation
    • Gespeicherte XSS mit zwingendem Text, der in der GUI hinzugefügt wurde
    • Gespeicherte XSS mit Diebstahl sensibler Daten
    • Gespeicherte XSS-Verlangsamungen für den Benutzer
    • Gespeicherte XSS mit Verlangsamungen für das System
    • Gespeicherte Open Redirect
    • Open Redirect über Link
    • 2 or 3
    • 6 or 7
    • 2 or 3
    • 3 or 4
    • 5 or 6
    • 4 or 5
    • 4 or 5
    • 3 or 4
    • 7 or 8
    • 3 or 4
    • 4 or 5
    • 6 or 7
    • 5 or 6
    • 5 or 6
    • 5 or 6
    • 4 or 5
    Access to Systems
    • Lesezugriff
    • Write access
    • Möglichkeit zu verschlüsseln
    • 7 or 8
    • 9 or 10
    • 9 or 10
    Session Hijacking
    • Einzelner Benutzer
    • Multiple users
    • Zielbenutzer
    • Durch Diebstahl
    • Through prevention
    • 5 or 6
    • 7 or 8
    • 6 or 7
    • 6 or 7
    • 7 or 8

    Qualifikation und Verantwortungsvolle Offenlegung

    Wir arbeiten gerne mit allen zusammen, die gültige Berichte einreichen, die uns helfen, unsere Sicherheit zu verbessern.
    Allerdings können nur diejenigen, die die folgenden Qualifikationsanforderungen erfüllen, eine monetäre Belohnung erhalten:

    • Du musst die erste Person sein, die ein unbekanntes Problem meldet.
    • Jede gefundene Schwachstelle muss innerhalb von 24 Stunden nach Entdeckung gemeldet werden.
    • Du darfst Details über die Schwachstelle nirgendwo anders offenlegen.
    • Du musst Tests vermeiden, die eine Verschlechterung oder Unterbrechung unseres Dienstes verursachen könnten.
    • Du darfst keine Benutzerdaten leaken, manipulieren oder zerstören.
    • Du darfst nur gegen Accounts testen, die du selbst besitzt.
    • Die Verwendung automatischer Tools oder skriptgesteueter Tests ist nicht erlaubt.
    • Du darfst kein ehemaliger oder aktueller CoreTech-Mitarbeiter sein.
    • Sende eine klare textliche Beschreibung des Berichts zusammen mit Schritten zur Reproduktion der Schwachstelle, füge Anhänge wie Screenshots oder Proof-of-Concept-Code bei, falls notwendig.
    • Offenlege den Schwachstellenbericht ausschließlich an CoreTech


    Wir beabsichtigen, gemeldete Probleme so schnell wie möglich zu beantworten und zu lösen. Das bedeutet, dass du periodisch Fortschrittsupdates von uns erhältst. Beachte, dass das Posten von Details oder Gesprächen über den Bericht oder das Posten von Details, die negativ auf das Programm und die CoreTech-Marke wirken, zur sofortigen Disqualifizierung vom Programm führen wird.


    Sicherheitsanalysen, die Ineffizienzen wie folgende beinhalten:

    • Systemverlangsamungen oder Einfrierungen
    • Wiederholtes Senden von E-Mails (mehr als 5 E-Mails)
    • Tatsächliche Schäden an Benutzern oder Mitarbeitern

    Sie sind nicht für Bargeldprämien berechtigt.

    Scopes


    Out-of-Scope-Sicherheitsbugs sind derzeit nicht für monetäre Belohnungen berechtigt und werden als verantwortungsvolle Offenlegung behandelt.

    Wie man die Schwachstelle kommuniziert

    Um eine gültige Schwachstelle zu melden, bitten wir dich freundlich:

    • Verwende das entsprechende Formular: https://www.coretech.it/en/service/chi_siamo/contatti.php. Wähle als Kontaktgrund "Participate in Bug Bounty".
    • Kurze Beschreibung der gefundenen Schwachstelle und jeglicher damit verbundener Schäden und Risiken.
    • Demonstrationsvideo, wie die Schwachstelle ausgeführt wird und welchen möglichen Schaden sie verursachen kann.

    *Falls das Formular nicht zu funktionieren scheint, bitten wir dich, uns eine E-Mail mit dem Betreff "Bug Bounty (Contact us!)" an die E-Mail-Adresse developer@coretech.it zu senden. Berichte mit einem anderen Betreff oder E-Mail können von unseren Systemen als Spam markiert werden

    *Das Demonstrationsvideo muss detaillierte Anweisungen enthalten, wie die Schwachstelle ausgenutzt wird, um das Opfer anzugreifen. Dieses Dokument muss klar und reproduzierbar formuliert sein, damit unser Team, das für die Analyse von Berichten zuständig ist, es genau bewerten kann. Es sollte beachtet werden, dass Schwachstellen, die nur in der lokalen Umgebung des Angreifers ausgenutzt werden können oder physischen Zugang zur Maschine des Opfers erfordern, für die Zwecke der Vergütung nicht berücksichtigt werden.


    Jede 3 Wochen betrachten wir neue Schwachstellenberichte. Bitte beachte, dass die Erinnerungsanfrage zur selben Schwachstelle erst 3 Wochen nach dem ersten Bericht gemacht werden kann. Erinnerungen, die vor diesem Zeitraum erhalten werden, werden als Spam betrachtet und könnten in einigen Fällen die Zuweisung wirtschaftlicher Belohnungen beeinflussen.

    Legende


    Sensitive data

    By "sensitive data" we mean any non-public data.

    Critical access

    By "critical access" we mean access to servers or services with admin permissions

    major damage to society

    By "major damage to society" we mean significant damage in terms of turnover or loss of data importanti in maniera irreversibile

    language errors

    By "language errors" we mean the display of errors from MySQL or other languages

    Inactive or potential vulnerabilities

    By "Inactive or potential vulnerabilities" we mean all those vulnerabilities that do not lead to concrete damage but in some cases could lead to damage. For example an XXS that prints "1" but fails to do anything but print "1"


    Ruhmeshalle

    Nickname Reports Point
    m0m0x01d 3 /
    jsafe 1 /
    Ninebrainer 1 /
    Yogesh 1 /
    jayalakshmi 3 /
    Sohit Kumar Mahato 33 1345
    BrainStorm (aka Davide Bonsangue) / /
    HARDIK (Linkedin) 1 25
    mak (Linkedin) 1 20
    57hakur (Twitter) 1 5
    Himanshu Sondhi 1 25
    Hasibul Hasan Shawon (Twitter) 2 100
    Mohammed Simo Latifi (Linkedin) 1 150
    Estin Fripal 1 150