Мы платим вознаграждение за найденные уязвимости в системе CARDPR.
Для участия в программе, необходимо зарегистрироваться, отправив информацию на io@cardpr.com:
1) Ваше имя, фамилию, контактный телефон;
2) Ваш IP-адрес, с которого будет производится поиск уязвимостей;
3) Профиль на hackerone.com, если есть.
Типы уязвимостей, которые разрешены для поиска:
RCE, SQLi, SSRF, XXE, Stored XSS, IDOR, XSS, CSRF, MITM, subdomain takeover.
Социальная инженерия, фишинг – только по явному согласованию.
Запрещено использовать DoS, DDoS-атаки.
Если вы нашли другой тип уязвимости, необходимо предварительно согласовать данный тип.
Перед поиском уязвимостей необходимо согласовать по почте стоимость обнаружения каждого типа уязвимости.
Scope: *.passquare.com, *.cardpr.com, *.cardpr.ru, *.codepr.ru.
Если вы нашли уязвимость вне периметра, необходимо предварительно согласовать.
Отчет нужно присылать на почту io@cardpr.com.
В отчете необходимо предоставить:
1) Сценарий обнаружения уязвимости;
2) Скрипт для эксплуатации уязвимости;
3) Лог-файл работы скрипта;
4) Запись экрана при эксплуатации уязвимости.
После тестовой эксплуатации уязвимости обязательно вернуть систему в изначальное состояние.
Вы не можете принимать участие в программе, если вы работали или работаете в CARDPR.
Нельзя публично рассказывать об уязвимостях, в том числе после их ликвидации.
При нарушении правил программы, оплата за найденные уязвимости не гарантируется.