Richiedi Supporto  | Contatta Vendite  | Accesso 1Stack

    • Programme Bugs
    CoreTech Bug Bounty Program

    CoreTech travaillant dur sur sécurité pour garder service sécurisé autant que possible mais nous savons que certains bugs ne sont pas découverts encore.
    Si tu crois avoir trouvé un problème de sécurité dans les services listés dans notre scope (TARGET), nous travaillerons avec toi pour le résoudre promptement et nous assurer que tu es équitablement récompensé pour ta découverte.

    Vulnérabilités Qualifiantes | Légende

    Min € Max € Type
    Hall of Fame Low 1-2-3-4
    Vulnérabilité aveugle, possibilité d'exploiter la vulnérabilité pour phishing
    50 € 300 € Medium 5-6
    Visualisation ou vol par un seul utilisateur (non systématique), Ralentissements système (machine serveur), Décryptage données, Visualisation données application
    300 € 800 € High 7-8-9
    Accès à données sensibles de tous les utilisateurs, Accès ou vol de données d'un utilisateur cible ou multiples utilisateurs, Accès à données système importantes
    800 € 2000 € Critical 10
    Accès critique aux systèmes, capacité d'encrypter serveurs, dommages majeurs à la société

    CoreTech peut fournir récompenses aux rapporteurs éligibles de vulnérabilités qualifiantes. Les montants de récompenses varient en fonction de la sévérité de la vulnérabilité rapportée.
    CoreTech garde le droit de décider si le seuil minimum de sévérité est rencontré et si le scope du bug rapporté est en fait déjà couvert par une vulnérabilité précédemment rapportée. Les récompenses sont octroyées entièrement à la discrétion de CoreTech. Pour qualifier pour une récompense sous ce programme, tu devrais
    Si la vulnérabilité rapportée, après une évaluation par le staff CoreTech, n'est pas parmi les payées, un score qui peut être visualisé dans le hall of fame sera assigné. À la réalisation de 50 points CoreTech il permettra de racheter un prix économique d'une valeur de 50 euros.
    Si tu souhaites rapporter une vulnérabilité ou si la vulnérabilité que tu as découverte n'est pas incluse parmi celles spécifiées dans le programme Bug Bounty, s'il te plaît fais-nous savoir. Nous considérerons attentivement l'inclure sur la page des spécifications du programme.

    Reward Payment

    Nous payons par :

    • Bank Transfer

    Qualifying Vulnerabilities

    Type Description Niveau de risque
    Injection Fichier
    • Insertion du fichier vulnérable sans ensuite la possibilité de l'atteindre
    • Le fichier inséré peut être atteint depuis l'extérieur
    • Le fichier inséré est exécutable extérieurement
    • Fichier inséré permet diverses exclation
    • Fichier inséré te permet d'insérer consoles distantes et / ou modifier le site
    • 3 or 4
    • 4 or 5
    • 7 or 8
    • 8 or 9
    • 9 or 10
    Broken Authentication
    • Atteindre données utilisateur utilisateur unique
    • Atteindre données sensibles de l'utilisateur unique
    • Modification / suppression de données utilisateur unique
    • Accès à cartes de crédit ou informations qui peuvent nuire à l'utilisateur
    • Atteindre données utilisateur tous les utilisateurs
    • Atteindre données utilisateur sensibles tous les utilisateurs
    • Changer / supprimer toutes les données utilisateur
    • Accès à cartes de crédit ou informations qui peuvent nuire à tous les utilisateurs
    • 5 or 6
    • 6 or 7
    • 6 or 7
    • 7 or 8
    • 6 or 7
    • 7 or 8
    • 7 or 8
    • 9 or 10
    Exposition Données Sensibles
    • Accès à tout le code application
    • Accès partiel au code application
    • Accès à données confidentielles d'autres utilisateurs
    • Accès à données confidentielles d'un utilisateur choisi
    • Access to system logs
    • Access to user logs
    • Accès aux logs de l'utilisateur choisi
    • Various configuration
    • SQL errors
    • Erreurs SQL avec visualisation données importantes
    • Erreurs langage backend
    • Erreurs langage backend avec visualisation données
    • Vulnérabilités inactives ou potentielles
    • 6 or 7
    • 4 or 5
    • 5 or 6
    • 6 or 7
    • 5 or 6
    • 5 or 6
    • 5 or 6
    • 2 or 3
    • 2 or 3
    • 4 or 5
    • 1 or 2
    • 3 or 4
    • 0 or 1
    Vulnerable and Outdated Components
    • Vulnérabilités inactives ou potentielles
    • Vulnérabilités vérifiées dans l'application
    • 0 or 1
    • 4 or 5
    Command Injection
    • Capacité de lancer arbitrairement toutes les commandes
    • Possibilité de lancer seulement quelques commandes malicieuses
    • Possibilité d'accéder à toutes les fonctions de la machine
    • Injection Commande Aveugle : Seulement commandes de test telles que sleep ou ping
    • 8 or 9
    • 7 or 8
    • 9 or 10
    • 3 or 4
    Injection SQL
    • Injection SQL Aveugle
    • Génération de l'erreur SQL
    • Possibilité d'escalade et accès à la base de données
    • Capacité de supprimer données
    • Capacité de visualiser données
    • Capacité de visualiser données sensibles
    • Possibilité de modifier les données
    • 3 or 4
    • 3 or 4
    • 9 or 10
    • 6 or 7
    • 6 or 7
    • 7 or 8
    • 6 or 7
    Cryptographic Failures
    • Seulement une donnée décryptée (envoyée au client)
    • Toutes les données décryptées (envoyées au client)
    • Décryptage données base de données sensibles
    • Affichage de données qui devraient être cryptées
    • Méthode pour décrypter toutes les données utilisant l'app
    • 4 or 5
    • 5 or 6
    • 5 or 6
    • 3 or 4
    • 5 or 6
    Broken Access Control
    • Capacité d'obtenir tous les mots de passe des utilisateurs
    • Contournement du mot de passe ou nom d'utilisateur
    • Login configuration error
    • Possibilité d'obtenir le mot de passe d'un groupe limité d'utilisateurs
    • Via Injection SQL utilisateur unique
    • À travers une erreur de design utilisateur unique
    • 8 or 9
    • 7 or 8
    • 7 or 8
    • 7 or 8
    • 5 or 6
    • 6 or 7
    XSS et Autres
    • XSS Aveugle
    • XSS avec vol de session
    • XSS avec modification GUI
    • XSS avec addition de textes dans formats en ligne avec le site
    • XSS avec vol de données sensibles
    • XSS ralentissements pour l'utilisateur
    • XSS avec ralentissements pour les systèmes
    • XSS Aveugle Stocké
    • XSS Stocké avec vol de session
    • XSS Stocké avec modification GUI
    • XSS Stocké avec texte convaincant ajouté dans la gui
    • XSS Stocké avec vol de données sensibles
    • XSS Stocké ralentissements pour l'utilisateur
    • XSS Stocké avec ralentissements pour le système
    • Stored Open Redirect
    • Open Redirect via link
    • 2 or 3
    • 6 or 7
    • 2 or 3
    • 3 or 4
    • 5 or 6
    • 4 or 5
    • 4 or 5
    • 3 or 4
    • 7 or 8
    • 3 or 4
    • 4 or 5
    • 6 or 7
    • 5 or 6
    • 5 or 6
    • 5 or 6
    • 4 or 5
    Access to Systems
    • Accès en lecture
    • Write access
    • Possibilité de crypter
    • 7 or 8
    • 9 or 10
    • 9 or 10
    Session Hijacking
    • Utilisateur unique
    • Multiple users
    • Utilisateur ciblé
    • Par vol
    • Through prevention
    • 5 or 6
    • 7 or 8
    • 6 or 7
    • 6 or 7
    • 7 or 8

    Éligibilité et Divulgation Responsable

    Nous sommes heureux de travailler avec tous ceux qui soumettent des rapports valides qui nous aident à améliorer notre sécurité.
    Cependant, seuls ceux qui répondent aux exigences d'éligibilité suivantes peuvent recevoir une récompense monétaire:

    • Vous devez être la première personne à signaler un problème inconnu.
    • Toute vulnérabilité trouvée doit être signalée au plus tard 24 heures après découverte.
    • Vous n'êtes pas autorisé à divulguer des détails sur la vulnérabilité ailleurs.
    • Vous devez éviter les tests qui pourraient causer une dégradation ou interruption de notre service.
    • Vous ne devez pas divulguer, manipuler, ou détruire des données utilisateur.
    • Vous êtes seulement autorisé à tester contre des comptes que vous possédez vous-même.
    • L'utilisation d'outils automatisés ou de tests scriptés n'est pas autorisée.
    • Vous ne devez pas être un ancien ou actuel employé CoreTech.
    • Envoyez une description textuelle claire du rapport avec les étapes pour reproduire la vulnérabilité, incluez des pièces jointes telles que captures d'écran ou code de preuve de concept si nécessaire.
    • Divulguez le rapport de vulnérabilité exclusivement à CoreTech


    Nous entendons répondre et résoudre les problèmes signalés aussi rapidement que possible. Cela signifie que vous recevrez des mises à jour de progrès de notre part périodiquement. Notez que poster des détails ou conversations sur le rapport ou poster des détails qui reflètent négativement sur le programme et la marque CoreTech, entraînera une disqualification immédiate du programme.


    Les analyses de sécurité qui incluent des inefficacités telles que:

    • Ralentissements système ou blocages
    • Envoi répété d'e-mails (Plus de 5 e-mails)
    • Dégâts réels aux utilisateurs ou employés

    Ils ne seront pas éligibles pour des récompenses en espèces.

    Scopes


    Les bugs de sécurité hors périmètre ne sont actuellement pas éligibles pour des récompenses monétaires et seront traités comme une divulgation responsable.

    Comment communiquer la vulnérabilité

    Pour signaler une vulnérabilité valide nous vous demandons aimablement de:

    • Utilisez le formulaire approprié: https://www.coretech.it/en/service/chi_siamo/contatti.php. Sélectionnez comme raison de contact "Participer au Bug Bounty".
    • Brève description de la vulnérabilité trouvée et tout dommage et risque associé.
    • Vidéo de démonstration de comment la vulnérabilité est exécutée et quel dommage possible elle peut causer.

    *Si le formulaire ne semble pas fonctionner, nous vous demandons de nous envoyer un e-mail avec le sujet "Bug Bounty (Contactez-nous!)" à l'adresse e-mail developer@coretech.it. Les rapports avec un sujet ou e-mail différent peuvent être marqués comme spam par nos systèmes

    *La vidéo Démonstration doit inclure des instructions détaillées sur comment exploiter la vulnérabilité pour attaquer la victime. Ce document doit être formulé d'une manière claire et reproductible afin que notre équipe responsable de l'analyse des rapports puisse l'évaluer avec précision. Il devrait être noté que les vulnérabilités qui peuvent seulement être exploitées dans un environnement local de l'attaquant ou nécessitent un accès physique à la machine de la victime ne seront pas prises en considération aux fins de rémunération.


    Tous les 3 semaines nous examinons de nouveaux rapports de vulnérabilité. Veuillez noter que la demande de rappel sur la même vulnérabilité peut seulement être faite 3 semaines après le premier rapport. Les rappels reçus avant cette période seront considérés comme spam et, dans certains cas, pourraient influencer l'allocation des récompenses économiques.

    Légende


    Sensitive data

    By "sensitive data" we mean any non-public data.

    Critical access

    By "critical access" we mean access to servers or services with admin permissions

    major damage to society

    By "major damage to society" we mean significant damage in terms of turnover or loss of data importanti in maniera irreversibile

    language errors

    By "language errors" we mean the display of errors from MySQL or other languages

    Inactive or potential vulnerabilities

    By "Inactive or potential vulnerabilities" we mean all those vulnerabilities that do not lead to concrete damage but in some cases could lead to damage. For example an XXS that prints "1" but fails to do anything but print "1"


    Hall of Fame

    Nickname Reports Point
    m0m0x01d 3 /
    jsafe 1 /
    Ninebrainer 1 /
    Yogesh 1 /
    jayalakshmi 3 /
    Sohit Kumar Mahato 33 1345
    BrainStorm (aka Davide Bonsangue) / /
    HARDIK (Linkedin) 1 25
    mak (Linkedin) 1 20
    57hakur (Twitter) 1 5
    Himanshu Sondhi 1 25
    Hasibul Hasan Shawon (Twitter) 2 100
    Mohammed Simo Latifi (Linkedin) 1 150
    Estin Fripal 1 150