Programa de Recompensas por Bugs de Symbol

CriticoAltoMedioBajo
Libreria Symbol QR – https://github.com/nemfoundation/symbol-qr-library
$3,500

$1,500
$300
$50
Symbol HD Wallet – https://github.com/nemfoundation/symbol-hd-wallets
$2,500
$1,000
$300
$50
Symbol CLI – https://github.com/nemtech/symbol-cli
$3,000

$1,000


$300

$50
Symbol Desktop Wallet – https://github.com/nemfoundation/symbol-desktop-wallet
$10,000


$5,000

$2,000$150

Recompensas

La siguiente es una descripción de alto nivel de cómo algunos ejemplos de tipos de vulnerabilidad / error pueden correlacionarse con los distintos ámbitos:

Critico

  • Generación de claves y persistencia
  • Uso clave y firma de transacciones
  • Problemas de nivel de protocolo que podrían corromper o romper el estado de la cadena de bloques dada una transacción firmada válida

Alto

  • Baches o defectos para los componentes de software que permitirían al atacante obtener acceso a la computadora / host en el que se ejecuta el software
  • Obtener acceso a información segura de clave / contraseña / etc. desde fuera de la aplicación o servicio desde la máquina host

Medio

  • Problemas de entrada errantes que incluyen datos corruptos / incorrectos pero que pueden enviar una transacción válida. Algo así como una entrada no válida que transferiría 10 veces los fondos mientras el usuario cree que están transfiriendo 1x

Bajo

  • Estos serían principalmente problemas de nivel de experiencia del usuario que hacen que un usuario final esté atascado o que las aplicaciones sean inútiles. Por lo general, esto podría ser algo así como un usuario que se envía a un formulario que se rompe y el usuario queda bloqueado en un determinado flujo de trabajo hasta que finaliza o cierra una aplicación

Politica

El proyecto Symbol espera trabajar con la comunidad de seguridad para encontrar vulnerabilidades con el fin de promover el desarrollo tecnológico de nuestros proyectos y mantener segura a nuestra comunidad de usuarios activos.

Objetivos de respuesta

Haremos todo lo posible para cumplir con los siguientes SLA para los piratas informáticos que participan en nuestro programa:

Tipo de Respuesta SLA en Días Hábiles
Primera Respuesta 2 Días
Tiempo de Espera 5 Días
Tiempo para recibir la Recompensa10 Días
Tiempo de Solución Depende de la severidad y la complejidad

Lo mantendremos informado sobre nuestro progreso a lo largo del proceso y nos comunicaremos si algún ingeniero necesita más detalles o tiene problemas con la reproducción de las divulgaciones.

Política de Divulgación

  • Como se trata de un programa privado, no discuta este programa ni ninguna vulnerabilidad (incluso las resueltas) fuera del programa sin el consentimiento expreso de la organización.
  • Siga las pautas de divulgación de HackerOne.

Reglas del Programa

  • Proporcione informes detallados con pasos reproducibles. Si el informe no es lo suficientemente detallado como para reproducir el problema, el problema no será elegible para una recompensa.
  • Envíe una vulnerabilidad por informe, a menos que necesite encadenar vulnerabilidades para proporcionar impacto.
  • Cuando se producen duplicados, solo otorgamos el primer informe que se recibió (siempre que pueda reproducirse por completo).
  • Múltiples vulnerabilidades causadas por un problema subyacente recibirán una recompensa.
  • La ingeniería social (por ejemplo, phishing, vishing, smishing) está prohibida.
  • Haga un esfuerzo de buena fe para evitar violaciones de privacidad, destrucción de datos e interrupción o degradación de nuestro servicio. Solo interactúe con cuentas de su propiedad o con permiso explícito del titular de la cuenta.

Plan de Prueba

  • Actualmente estamos implementando los elementos de ámbito que son bibliotecas independientes, su uso en perspectiva y las pruebas están autocontenidas en sus repositorios de github.

A medida que abramos la amplia gama de elementos de alcance, proporcionaremos cualquier plan de prueba específico.

Vulnerabilidades fuera de alcance

Al informar vulnerabilidades, considere (1) escenario de ataque / explotabilidad, y (2) impacto de seguridad del error. Los siguientes problemas se consideran fuera de alcance:

  • Clickjacking en páginas sin acciones sensibles
  • Falsificación de solicitudes entre sitios (CSRF) en formularios no autenticados o formularios sin acciones sensibles
  • Ataques que requieren MITM o acceso físico al dispositivo de un usuario.
  • Bibliotecas vulnerables previamente conocidas sin una prueba de concepto que funcione.
  • Inyección de valores separados por comas (CSV) sin demostrar una vulnerabilidad.
  • Faltan las mejores prácticas en la configuración SSL / TLS.
  • Cualquier actividad que pueda conducir a la interrupción de nuestro servicio (DoS).
  • Problemas de suplantación de contenido e inyección de texto sin mostrar un vector de ataque / sin poder modificar HTML / CSS
  • Problemas de limitación de velocidad o fuerza bruta en puntos finales sin autenticación
  • Faltan las mejores prácticas en la Política de seguridad de contenido.
  • Faltan banderas HttpOnly o Secure en las cookies
  • Prácticas recomendadas de correo electrónico faltantes (registros SPF / DKIM / DMARC no válidos, incompletos o faltantes, etc.)
  • Vulnerabilidades que solo afectan a los usuarios de navegadores desactualizados o sin parches [Menos de 2 versiones estables detrás de la última versión estable lanzada]
  • Divulgación de la versión de software / Problemas de identificación de banner / Mensajes de error descriptivos o encabezados (por ejemplo, seguimientos de pila, errores de aplicación o servidor).
  • Las vulnerabilidades públicas de día cero que hayan tenido un parche oficial durante menos de 1 mes se otorgarán caso por caso.
  • Tabnabbing
  • Redireccionamiento abierto: a menos que se pueda demostrar un impacto de seguridad adicional
  • Problemas que requieren una interacción poco probable del usuario

Puerto seguro

Cualquier actividad realizada de manera consistente con esta política se considerará una conducta autorizada y no iniciaremos acciones legales contra usted. Si un tercero inicia una acción legal contra usted en relación con las actividades realizadas en virtud de esta política, tomaremos medidas para informarle que sus acciones se realizaron de conformidad con esta política.

¡Gracias por ayudar a mantener seguros nuestro proyecto y comunidad de usuarios!

Fuente: HackerOne