CARDPR Bug Bounty
Версия 2.0.8
Мы приглашаем специалистов по безопасности принять участие в Bug Bounty программе CARDPR.
Мы ценим вклад исследователей и вознаграждаем за найденные уязвимости, повышающие безопасность нашей экосистемы.
Как присоединиться
Чтобы стать участником программы, отправьте письмо на hello@cardpr.com, указав:
Типы уязвимостей, которые разрешены для поиска:
Критические:
Если вы хотите протестировать тип уязвимости, не входящий в список, согласуйте его заранее.
Scope тестирования
Разрешённые домены:
Требования к отчёту
Отчёт отправляется на hello@cardpr.com и должен содержать:
Правила участия
Мы ценим вклад исследователей и вознаграждаем за найденные уязвимости, повышающие безопасность нашей экосистемы.
Как присоединиться
Чтобы стать участником программы, отправьте письмо на hello@cardpr.com, указав:
- Имя, фамилию и контактный телефон;
- IP-адрес, с которого будет производиться тестирование, или запрос на согласование заголовка X-Bug-Bounty;
- Профиль на одном из специализированных сервисов (если есть) — например, hackerone.com, bugcrowd.com, intigriti.com и другие.
Типы уязвимостей, которые разрешены для поиска:
Критические:
- RCE
- SQLi / NoSQLi
- SSRF with access to internal resources
- Full authentication bypass
- Privilege escalation
- XXE
- Stored XSS
- Broken Access Control
- Insecure file upload
- MITM
- Session management issues
- Reflected XSS
- IDOR
- Business logic vulnerabilities
- Misconfigurations with medium impact
- Subdomain takeover
- Open redirect
- Informational disclosures without impact
- Cache-related issues
- Minor configuration issues
- Self-XSS
- Уязвимости, требующие действий пользователя
- Атаки на страницы, контролируемые исследователем
- Фишинг и социальная инженерия
- Непрактичные или нескалируемые сценарии без реального импакта
- Отсутствие DNS CAA / SPF / DKIM / DMARC
- Отсутствие security-заголовков без возможности эксплуатации
- Рекомендации по best practices без POC
- Низкоуровневые конфигурационные замечания без влияния на безопасность
- Отчёты только от автоматических сканеров, без подтверждённой атаки
Если вы хотите протестировать тип уязвимости, не входящий в список, согласуйте его заранее.
Scope тестирования
Разрешённые домены:
- *.cardpr.com
- *.cardpr.ru
- *.codepr.ru
Требования к отчёту
Отчёт отправляется на hello@cardpr.com и должен содержать:
- Подробный сценарий воспроизведения уязвимости;
- Скрипт или инструмент, использованный для эксплуатации;
- Лог-файл выполнения;
- Запись экрана, демонстрирующую эксплуатацию.
Правила участия
- Действующие и бывшие сотрудники CARDPR не могут участвовать в программе.
- Публичное раскрытие информации об уязвимостях запрещено, включая период после их устранения.
- Отчёты, содержащие агрессивную или неконструктивную коммуникацию, могут быть отклонены вне зависимости от содержания.
- При нарушении правил вознаграждение может быть не выплачено.