Bounty Program

Wenn Sie eine Sicherheitsschwachstelle auf ZAFUL gefunden haben, empfehlen wir Ihnen, uns umgehend zu benachrichtigen. Wir werden alle legitimen Schwachstellenberichte überprüfen und unser Bestes tun, um das Problem schnell zu lösen. Bevor Sie Bericht erstatten, lesen Sie bitte dieses Dokument, einschließlich Grundprinzip, Bounty-Programm, Belohnungsrichtlinien und was nicht berichtet werden sollte

Grundprinzip

Wenn Sie bei der Meldung eines Sicherheitsproblems an ZAFUL die folgenden Grundsätze einhalten, werden wir als Reaktion auf Ihren Bericht keine Klage oder Strafverfolgung gegen Sie einleiten. Wir bitten darum:

1. Sie geben uns eine angemessene Zeit, um ein von Ihnen gemeldetes Problem zu überprüfen und zu beheben, bevor Sie Informationen über den Bericht veröffentlichen oder diese an andere weitergeben..

2. Sie interagieren nicht mit einem einzelnen Konto (einschließlich der Änderung oder des Zugriffs auf Daten aus dem Konto), wenn der Kontoinhaber solchen Aktionen nicht zugestimmt hat.

3. Sie bemühen sich in gutem Glauben, Datenschutzverletzungen und Störungen gegenüber anderen zu vermeiden, einschließlich (aber nicht beschränkt auf) die Zerstörung von Daten und die Unterbrechung oder Verschlechterung unserer Dienste.

4. Sie nutzen ein Sicherheitsproblem, das Sie aus irgendeinem Grund entdecken, nicht aus. (Dazu gehört auch der Nachweis eines zusätzlichen Risikos, wie z.B. der Versuch, sensible Unternehmensdaten zu kompromittieren oder nach zusätzlichen Problemen zu suchen.)

5. Sie verstoßen nicht gegen andere geltende Gesetze oder Vorschriften.

Bounty Program

1. Halten Sie sich an unser Grundprinzip (siehe oben).

2. Einen Sicherheitsfehler melden: d.h. eine Schwachstelle in unseren Diensten oder unserer Infrastruktur identifizieren, die ein Sicherheits- oder Datenschutzrisiko darstellt. (Beachten Sie, dass ZAFUL letztendlich das Risiko eines Problems bestimmt und dass viele Fehler keine Sicherheitsprobleme sind.)

3. Reichen Sie Ihren Bericht über unsere E-Mail “security@zaful.com” ein und antworten Sie auf den Bericht mit allen Aktualisierungen. Bitte kontaktieren Sie Mitarbeiter nicht direkt oder über andere Kanäle bezüglich eines Berichts. Wenn Sie Fragen oder Probleme mit Ihrer Bestellung haben, wenden Sie sich an unser Support-Center unter support@zaful.com.

4.Wenn Sie während der Untersuchung eines Problems versehentlich eine Datenschutzverletzung oder -störung (z.B. Zugriff auf Kontodaten, Dienstkonfigurationen oder andere vertrauliche Informationen) verursachen, stellen Sie sicher, dass Sie dies in Ihrem Bericht offen legen.

5. wir untersuchen und reagieren auf alle gültigen Berichte. Aufgrund des Umfangs der uns vorliegenden Berichte priorisieren wir jedoch Bewertungen nach Risiko und anderen Faktoren, und es kann einige Zeit dauern, bis Sie eine Antwort erhalten.

6. wir behalten uns das Recht vor, Berichte zu veröffentlichen.

Belohnungen

Unsere Belohnungen basieren auf den Auswirkungen einer Schwachstelle. Wir werden das Programm im Laufe der Zeit auf der Grundlage von Feedback aktualisieren, also geben Sie uns bitte Feedback zu jedem Teil des Programms, von dem Sie denken, dass wir ihn verbessern können.

1. Bitte legen Sie detaillierte Berichte mit reproduzierbaren Schritten vor. Wenn der Bericht nicht detailliert genug ist, um das Problem zu reproduzieren, ist das Problem nicht bounty-fähig.

2. Wenn Duplikate auftreten, vergeben wir den ersten Bericht, den wir vollständig reproduzieren können.

3. Mehrere Schwachstellen, die durch ein zugrunde liegendes Problem verursacht werden, erhalten eine Prämie.

4. Wir bestimmen die Prämie auf der Grundlage einer Vielzahl von Faktoren, einschließlich (aber nicht beschränkt auf) Auswirkungen, einfache Bedienung und Qualität des Berichts. Wir weisen ausdrücklich auf die Bounty-Belohnungen hin, unter denen diese aufgelistet sind.

5. Die folgenden Beträge sind das Maximum, das wir pro Level zahlen. Wir sind bestrebt, fair zu sein, alle Belohnungsbeträge liegen in unserem Ermessen.

Schwachstellen mit kritischem Schweregrad ($200): Schwachstellen, die eine Privilegieneskalation auf der Plattform von unprivilegiert zu admin verursachen, ermöglichen die Ausführung von Remote-Code, finanziellen Diebstahl, etc. Beispiele:

·Ausführung von Remote-Code

·Remote Shell/Befehlsausführung

·Umgehung der vertikalen Authentifizierung

·SQL-Injektion, die gezielte Daten durchsickert.

·Erhalten Sie vollen Zugriff auf die Konten

Schwachstellen mit hohem Schweregrad ($100):Schwachstellen, die sich auf die Sicherheit der Plattform auswirken, einschließlich der von ihr unterstützten Prozesse. Beispiele:

·Seitlicher Authentifizierungs-Bypass

·Offenlegung wichtiger Informationen innerhalb des Unternehmens

·Umgehung der vertikalen Authentifizierung

·Gespeichertes XSS für einen anderen Benutzer

·Unsicherer Umgang mit Authentifizierungs-Cookies

Mittlere Schwachstellen ($50): Schwachstellen, die mehrere Benutzer betreffen und nur eine geringe oder gar keine Benutzerinteraktion erfordern. Beispiele:

·Allgemeine Logikdesign-Fehler und Geschäftsprozessfehler

·Offenlegung wichtiger Informationen innerhalb des Unternehmens

·Unsichere direkte Objektreferenzen

Schwachstellen mit geringer Schwere (OHNE):Probleme, die einzelne Benutzer betreffen und die eine Interaktion oder wesentliche Voraussetzungen (MITM) erfordern. Beispiele:

·Umleitung öffnen

·Reflektierende XSS

·Geringe Empfindlichkeit Informationslecks

>