Conviértete en Partner   | Pedir soporte  | Contacto  | Acceso 1Stack

    • Bugs Program
    CoreTech | Categorías Contactos

    CoreTech trabaja arduamente en seguridad para mantener el servicio lo más seguro posible, pero sabemos que aún no se han descubierto algunos errores.
    Si cree que ha encontrado un problema de seguridad en los servicios enumerados en nuestro alcance (TARGET), trabajaremos con usted para resolverlo rápidamente y asegurarnos de que reciba una recompensa justa por su descubrimiento.

    Vulnerabilidades que califican | Leyenda

    Min € Max € Type
    Hall of Fame Low 1-2-3-4
    Vulnerabilidad ciega, posibilidad de explotar la vulnerabilidad para phishing
    50 € 300 € Medium 5-6
    Visualización o robo por un solo usuario (no sistemático), Ralentizaciones del sistema (máquina servidor), Descifrado de datos, Visualización de datos de la aplicación
    300 € 800 € High 7-8-9
    Acceso a datos sensibles de todos los usuarios, Acceso o robo de datos de un usuario objetivo o múltiples usuarios, Acceso a datos importantes del sistema
    800 € 2000 € Critical 10
    Acceso crítico a los sistemas, capacidad de cifrar servidores, daño significativo a la sociedad

    CoreTech puede ofrecer recompensas a los informantes elegibles de vulnerabilidades calificadas. Loa cantidad de las recompensas varían según la gravedad de la vulnerabilidad reportada.
    CoreTech se reserva el derecho de decidir si se cumple el umbral de gravedad mínimo y si el alcance del error informado ya está cubierto por una vulnerabilidad informada anteriormente. Las recompensas se otorgan enteramente a discreción de CoreTech. Para calificar para una recompensa bajo este programa, debe
    Si la vulnerabilidad reportada, luego de una evaluación por parte del personal de CoreTech, no se encuentra entre las pagadas, se le asignará una puntuación que podrá verse en el salón de la fama. Al alcanzar los 50 puntos CoreTech te permitirá canjear un premio económico por valor de 50 euros.
    Si desea informar una vulnerabilidad o si la vulnerabilidad que descubrió no está incluida entre las especificadas en el programa Bug Bounty, háganoslo saber. Consideraremos cuidadosamente incluirlo en la página de especificaciones del programa.

    Sistema de refrigeración

    Pagamos por:

    • Bank Transfer

    Velocidad y flexibilidad

    Type Descripción Risk level
    File Injection
    • Inserción del archivo vulnerable sin la posibilidad de acceder a él
    • El archivo insertado puede ser accedido desde el exterior
    • El archivo insertado es ejecutable externamente
    • El archivo insertado permite diversas escalaciones
    • El archivo insertado permite insertar consolas remotas y/o modificar el sitio
    • 3 or 4
    • 4 or 5
    • 7 or 8
    • 8 or 9
    • 9 or 10
    Autenticación del servidor
    • Acceso a los datos de un solo usuario
    • Acceso a los datos sensibles de un solo usuario
    • Modificación / eliminación de los datos de un solo usuario
    • Acceso a tarjetas de crédito o información que pueda perjudicar al usuario
    • Acceso a los datos de todos los usuarios
    • Acceso a los datos sensibles de todos los usuarios
    • Modificar / eliminar todos los datos de los usuarios
    • Acceso a tarjetas de crédito o información que pueda perjudicar a todos los usuarios
    • 5 or 6
    • 6 or 7
    • 6 or 7
    • 7 or 8
    • 6 or 7
    • 7 or 8
    • 7 or 8
    • 9 or 10
    Exposición de datos sensibles
    • Acceso a todo el código de la aplicación
    • Acceso parcial al código de la aplicación
    • Acceso a datos confidenciales de otros usuarios
    • Acceso a datos confidenciales de un usuario específico
    • Acceso telemático l
    • Logotipo de Accutone
    • Acceso a los registros del usuario elegido
    • Verificación de la certificación
    • SQL errors
    • Errores SQL con visualización de datos importantes
    • Errores de lenguaje en el backend
    • Errores de lenguaje en el backend con visualización de datos
    • Vulnerabilidades inactivas o potenciales
    • 6 or 7
    • 4 or 5
    • 5 or 6
    • 6 or 7
    • 5 or 6
    • 5 or 6
    • 5 or 6
    • 2 or 3
    • 2 or 3
    • 4 or 5
    • 1 or 2
    • 3 or 4
    • 0 or 1
    Componentes vulnerables y obsoletos
    • Vulnerabilidades inactivas o potenciales
    • Vulnerabilidades verificadas en la aplicación
    • 0 or 1
    • 4 or 5
    Command Injection
    • Capacidad de ejecutar arbitrariamente todos los comandos
    • Posibilidad de ejecutar solo algunos comandos maliciosos
    • Posibilidad de acceder a todas las funciones de la máquina
    • Inyección de Comandos a Ciegas: Solo comandos de prueba como sleep o ping
    • 8 or 9
    • 7 or 8
    • 9 or 10
    • 3 or 4
    SQL Injection
    • Blind SQL Injection
    • Generación del error SQL
    • Posibilidad de escalación y acceso a la base de datos
    • Capacidad de eliminar datos
    • Capacidad de visualizar datos
    • Capacidad para visualizar datos sensibles
    • Posibilidad de modificar los datos
    • 3 or 4
    • 3 or 4
    • 9 or 10
    • 6 or 7
    • 6 or 7
    • 7 or 8
    • 6 or 7
    Cifrado de archivos
    • Solo un dato descifrado (enviado al cliente)
    • Todos los datos descifrados (enviados al cliente)
    • Desencriptación de datos sensibles de la base de datos
    • Visualización de datos que deberían estar cifrados
    • Método para descifrar todos los datos utilizando la aplicación
    • 4 or 5
    • 5 or 6
    • 5 or 6
    • 3 or 4
    • 5 or 6
    Broken Access Control
    • Capacidad para obtener las contraseñas de todos los usuarios
    • Elusión de la contraseña o nombre de usuario
    • Criterios de conservación
    • Posibilidad de obtener la contraseña de un grupo limitado de usuarios
    • A través de una inyección SQL de un solo usuario
    • A través de un error de diseño de un solo usuario
    • 8 or 9
    • 7 or 8
    • 7 or 8
    • 7 or 8
    • 5 or 6
    • 6 or 7
    XSS and Other
    • Blind XSS
    • XSS con robo de sesión
    • XSS con modificación de la interfaz gráfica
    • XSS con adición de textos en formatos coherentes con el sitio
    • XSS con robo de datos sensibles
    • XSS con ralentizaciones para el usuario
    • XSS con ralentizaciones para los sistemas
    • XSS ciego almacenado
    • XSS almacenado con robo de sesión
    • XSS almacenado con modificación de la interfaz gráfica
    • XSS almacenado con texto persuasivo añadido en la interfaz gráfica
    • XSS almacenado con robo de datos sensibles
    • XSS almacenado con ralentizaciones para el usuario
    • XSS almacenado con ralentizaciones para el sistema
    • Stored Open Redirect
    • Open Redirect via link
    • 2 or 3
    • 6 or 7
    • 2 or 3
    • 3 or 4
    • 5 or 6
    • 4 or 5
    • 4 or 5
    • 3 or 4
    • 7 or 8
    • 3 or 4
    • 4 or 5
    • 6 or 7
    • 5 or 6
    • 5 or 6
    • 5 or 6
    • 4 or 5
    Acceso a Systems
    • Read access
    • Write access
    • Posibilidad de cifrar
    • 7 or 8
    • 9 or 10
    • 9 or 10
    Sesiones
    • Single user
    • Multiples usuarios
    • Targeted user
    • Por robo
    • Número de presupuesto
    • 5 or 6
    • 7 or 8
    • 6 or 7
    • 6 or 7
    • 7 or 8

    Elegibilidad y Divulgación Responsable

    Estamos encantados de trabajar con todos los que presenten informes válidos que nos ayuden a mejorar nuestra seguridad.
    Sin embargo, solo aquellos que cumplan los siguientes requisitos de elegibilidad podrán recibir una recompensa monetaria:

    • Debes ser la primera persona en informar sobre un problema desconocido.
    • Cualquier vulnerabilidad encontrada debe ser informada en un plazo máximo de 24 horas tras su descubrimiento.
    • No está permitido divulgar detalles sobre la vulnerabilidad en ningún otro lugar.
    • Debes evitar pruebas que puedan causar degradación o interrupción de nuestro servicio.
    • No debes filtrar, manipular o destruir ningún dato de usuario.
    • Solo se permite realizar pruebas en cuentas que sean de tu propiedad.
    • No se permite el uso de herramientas automatizadas o pruebas mediante scripts.
    • No debes haber sido o ser un empleado actual de CoreTech.
    • Envía una descripción textual clara del informe junto con los pasos para reproducir la vulnerabilidad, incluyendo archivos adjuntos como capturas de pantalla o código de prueba de concepto si es necesario.
    • Divulga el informe de vulnerabilidad exclusivamente a CoreTech


    We intend to respond and resolve reported issues as quickly as possible. This means that you will receive progress updates from us periodically. Note that posting details or conversations about the report or posting details that reflect negatively on the program and the CoreTech brand, will result in immediate disqualification from the program.


    Análisis de seguridad que incluyen ineficiencias como:

    • Ralentizaciones o bloqueos del sistema
    • Envío repetido de correos electrónicos (más de 5 correos)
    • Daños reales a usuarios o empleados

    No serán elegibles para recompensas monetarias.

    Alcance


    Los errores de seguridad fuera del alcance actualmente no son elegibles para recompensas monetarias y serán manejados como una divulgación responsable.

    Cómo comunicar la vulnerabilidad

    Para informar una vulnerabilidad válida, te pedimos amablemente que:

    • Utilices el formulario adecuado: https://www.coretech.it/en/service/chi_siamo/contatti.php. Selecciona como motivo de contacto "Participar en Bug Bounty".
    • Breve descripción de la vulnerabilidad encontrada y cualquier daño y riesgo asociado.
    • Video de demostración de cómo se ejecuta la vulnerabilidad y el posible daño que puede causar.

    *Si el formulario no parece estar funcionando, te pedimos que nos envíes un correo con el asunto "Bug Bounty (Contact us!)" a la dirección de correo developer@coretech.it. Los informes con un asunto o correo diferente pueden ser marcados como spam por nuestros sistemas.

    *La demostración en video debe incluir instrucciones detalladas sobre cómo explotar la vulnerabilidad para atacar a la víctima. Este documento debe estar formulado de manera clara y reproducible para que nuestro equipo encargado de analizar los informes pueda evaluarlo con precisión. Cabe destacar que las vulnerabilidades que solo puedan explotarse en un entorno local del atacante o que requieran acceso físico a la máquina de la víctima no serán consideradas para efectos de remuneración.


    Cada 3 semanas revisamos nuevos informes de vulnerabilidad. Ten en cuenta que la solicitud de recordatorio sobre la misma vulnerabilidad solo puede hacerse 3 semanas después del primer informe. Los recordatorios recibidos antes de este período serán considerados spam y, en algunos casos, podrían influir en la asignación de recompensas económicas.

    Leyenda


    Sensitive data

    By "sensitive data" we mean any non-public data.

    Critical access

    By "critical access" we mean access to servers or services with admin permissions

    major damage to society

    By "major damage to society" we mean significant damage in terms of turnover or loss of data importanti in maniera irreversibile

    language errors

    By "language errors" we mean the display of errors from MySQL or other languages

    Inactive or potential vulnerabilities

    By "Inactive or potential vulnerabilities" we mean all those vulnerabilities that do not lead to concrete damage but in some cases could lead to damage. For example an XXS that prints "1" but fails to do anything but print "1"


    Hall of Fame

    Nickname Reports Point
    m0m0x01d 3 /
    jsafe 1 /
    Ninebrainer 1 /
    Yogesh 1 /
    jayalakshmi 3 /
    Sohit Kumar Mahato 33 1345
    BrainStorm (aka Davide Bonsangue) / /
    HARDIK (Linkedin) 1 25
    mak (Linkedin) 1 20
    57hakur (Twitter) 1 5
    Himanshu Sondhi 1 25
    Hasibul Hasan Shawon (Twitter) 2 100
    Mohammed Simo Latifi (Linkedin) 1 150
    Estin Fripal 1 150