Информация 5天-免费 频道下载统计 免费托管 行动 "更换主机"
Hosting.XYZ
Bug Bounty

确保用户数据安全对我们来说很重要,因此我们准备与寻找漏洞并奖励他们的人合作。

We don't accept any XSS attack since 22 of April 2023 untill future notice.

报酬

乌克兰托管中心为发现的漏洞提供奖励。最低奖励金额为 50$, 最高 1000$. 奖励的数量取决于漏洞的程度,这取决于利用漏洞的现实程度:

  1. 高级别 — 高达 1000$. 访问中央数据库,访问源代码,在中央服务器上执行任意命令,以root身份在托管服务器上执行任意命令。
  2. 中等水平 — 高达 250$. 
  3. 低水平 — 高达 150$. 难以进行或必须匹配大量因素的潜在攻击。 
  4. 所有需要跟随链接的 XSS 攻击上限为 50$.
  5. Alpha 和 Beta 版服务中发现的漏洞限制为 150 个$. (29/11/2022)

报告

为了增加各方的信心,提交漏洞报告的过程根据以下算法进行:

  1. 你写信给 email 关于能否提交报告的询问。我们会回复说,我们已准备好接受新漏洞。我们只有在没有其他漏洞的情况下才会这样做。因为可能会出现这样的情况,即其他人已经报告了相同的漏洞,结果可能是您提交了漏洞,但不会因此获得奖励。
  2. 获得同意后,您检查利用该漏洞的可能性。
  3. 只提交一个漏洞。您不应该同时提交多个漏洞,因为在很多情况下,关闭一个漏洞会同时关闭其他地方的漏洞。毕竟,一行代码可以在程序的数百个地方被调用。
  4. 我们研究利用漏洞的影响和现实。
  5. 我们修复了这个错误。
  6. 我们向 PayPal、活期账户或卡支付报酬。我们没有能力使用加密货币(比特币和其他)进行支付,因为我们不使用它们。

使适应

  1. 该计划不包括第三方开发、零日操作系统漏洞、处理器内核错误以及我们无法影响的其他漏洞。
  2. 该程序仅在我们制作的软件上发布,可在网站 ukraine.com.ua、auth.adm.tools、webmail.online 和 adm.tools 上找到。
  3. 不要使用发现的漏洞来更改信息或未经授权访问它。使用您的帐户进行测试。
  4. 如果您无意中更改了不应更改的数据,请尽快通知我们。不要查看、修改或保存在发生漏洞时获得的数据。
  5. 善意行事,以免侵犯其他用户的隐私,不要禁用服务。
  6. 依法行事。
  7. 奖励给第一个报告漏洞的人。
  8. 在漏洞解决之前在互联网上发布漏洞可能会导致奖励取消我们不会针对威胁进行谈判(例如,我们不会在威胁隐瞒漏洞或威胁披露漏洞或向公众披露任何信息的情况下协商支付金额)。
  9. 处理错误的速度取决于错误的严重程度和程序员的工作量,需要 3 到 30 天。

不支付报酬的漏洞

以下问题不在我们奖励计划的范围内:

  1. 我们关于存在/不存在 SPF/DMARC 记录的政策。
  2. 密码、电子邮件和帐户策略,例如电子邮件 ID 验证、重置链接过期、密码复杂性。
  3. 缺少 CSRF 令牌(如果没有证据表明不受令牌保护的实际机密用户操作)。
  4. 需要物理访问用户设备的攻击。以及与拦截流量相关的攻击。 
  5. 没有不直接导致漏洞的安全标头。
  6. 缺乏最佳实践(我们需要系统漏洞的证据)。
  7. 在主机上放置恶意/任意内容。
  8. 任何针对自身的攻击,例如 Self-XSS。
  9. 我们将接受有关操作系统和第三方产品漏洞的报告,但我们不会奖励他们。
  10. 主机标头注入,如果您无法展示它们如何导致用户数据被盗。
  11. 使用已知的易受攻击的库(无使用证明)。
  12. 来自自动化工具或扫描的报告。
  13. 影响过时浏览器或平台用户的漏洞。
  14. 托管乌克兰的员工或承包商的社会工程。
  15. Web 表单中自动完成属性的存在。
  16. 缺少不敏感 cookie 的 cookie 标志。
  17. 不安全 SSL / TLS 密码的报告(除非您有有效的概念证明,而不仅仅是来自扫描仪的报告)。
  18. 确定用户是否在主机上注册的能力,如果他的电子邮件是已知的。
  19. 任何关于规避我们服务限制的报告。
  20. 内容欺骗漏洞(当您只能在页面上插入文本或图像时)超出范围。我们将接受并修复一个攻击者可以输入图像或富文本 (HTML) 但没有资格获得赏金的欺骗漏洞。纯文本的引入超出了范围。
  21. 使用相同的电子邮件地址创建多个帐户。
  22. 由于 unicode / punycode 或 RTLO 问题导致的网络钓鱼风险。
  23. 由于我们禁用了 DMARC 导致的漏洞。第三方服务器忽略 SPF 记录并接受来自第三方服务(包括 Gmail)的电子邮件不是漏洞。
  24. 任何类型的洪水和暴力破解、DoS 和 DDoS 攻击,以及与服务器性能下降相关的攻击。 
  25. 攻击者可以访问受害者的电子邮件或电话的攻击。
  26. 缺少安全标头 COEP、COOP、CORS、CORB、Referrer-policy、Content-Security-Policy、HSTS、Cookie-prefix、SameSiteCookie...
  27. 有关所用软件的信息的可用性。我们是托管服务提供商,会向客户公布有关已安装软件的信息。因此,无法对这些信息进行分类。
  28. 获取公司员工的 IP 地址不是漏洞。技术支持打开链接,您可以将钓鱼链接或 SVG 文件发送到邮件等。
  29. 用户提交的图像文件中存在 EXIF 数据。我们的客户不会在我们的网站上发布他们的个人照片,这些照片可能包含带有有价值坐标的 EXIF。
  30. 加载 SVG 文件。我们将它们保存为附件,不会在网站上显示。这避免了从站点获取数据。
  31. Social Engeneering Attacks.
  32. DNS 中存在 CAA 记录。
  33. «友好攻击», 由受害者提供服务的用户花费。16/05/2023
  34. 任何公共 CVE、公共软件的 CWE 漏洞、证书等。
  35. 需要实际进入受害者电脑的攻击。26/01/2024

最后条款

  1. 您有责任支付与奖励相关的任何税款。
  2. 我们可能随时更改此程序的条款或终止它。我们不会追溯应用对这些计划条款所做的任何更改。
  3. Hosting乌克兰的员工及其家庭成员没有资格获得报酬。
  4. 托管乌克兰可以为您提供免费访问产品。此访问权限仅用于测试目的,可以随时撤销,无论是否事先通知。