5日間-無料 チャネルダウンロード統計 無料ホスティング アクション "ホストの変更"

ユーザーデータを安全に保つことは私たちにとって重要です。そのため、脆弱性を探して報酬を与える人々と協力する準備ができています。

We don't accept any XSS attack since 22 of April 2023 untill future notice.

褒美

ウクライナをホストすることは、発見された脆弱性に対する報酬を提供します。報酬の最低額は50です$, 最大1000$. 。報酬の額は脆弱性のレベルによって異なります。脆弱性のレベルは、脆弱性を使用することがどれほど現実的であるかによって決まります。

  1. ハイレベル — 最大1000$. 。中央データベースへのアクセス、ソース コードへのアクセス、中央サーバーでの任意のコマンドの実行、ホスティング サーバーでの root としての任意のコマンドの実行。
  2. 中レベル — 最大250$. 
  3. 低レベル — 最大150$. 。実行が難しい、または多数の要素が一致する必要がある潜在的な攻撃。 
  4. リンクをたどる必要があるすべてのXSS攻撃は50に制限されています$.
  5. サービスのアルファ版とベータ版で見つかった脆弱性は 150 件に制限されています$. (29/11/2022)

レポート

当事者の信頼を高めるために、脆弱性レポートを提出するプロセスは、次のアルゴリズムに従って実行されます。

  1. に書く email 報告書を提出できるかどうかの問い合わせ。私たちは、新しい脆弱性を受け入れる準備ができていると回答します。これは、他に脆弱性の報告がない場合に限ります。なぜなら、他の誰かが同じ脆弱性をすでに報告しており、あなたが脆弱性を提出したにもかかわらず、それに対する報奨金を受け取れないという状況になるかもしれないからです。
  2. 同意を得た後、脆弱性を悪用する可能性を確認します。
  3. 提出するバグは1つだけにしてください。一度にたくさんのバグを提出するべきではありません。なぜなら、ある脆弱性を閉じると、 他の場所でもその脆弱性が閉じてしまうことがよくあるからです。結局のところ、1行のコードがプログラム中の何百もの場所から呼び出される可能性があるのです。
  4. この脆弱性を悪用することの影響と現実を調査します。
  5. バグを修正します。
  6. PayPal、当座預金、またはカードに報酬を支払います。暗号通貨(ビットコインなど)を使用していないため、暗号通貨で支払いを行うことはできません。

条件

  1. このプログラムには、サードパーティの開発、ゼロデイオペレーティングシステムの脆弱性、プロセッサコアのエラー、および影響を与えることができないその他の脆弱性は含まれていません。
  2. このプログラムは、ウェブサイトukraine.com.ua、auth.adm.tools、webmail.online、adm.toolsで見つけることができる、当社によって作成されたソフトウェア上でのみ配布されています。
  3. 見つかった脆弱性を使用して情報を変更したり、情報への不正アクセスを取得したりしないでください。テストにはアカウントを使用してください。
  4. 変更してはならないデータを誤って変更した場合は、できるだけ早くお知らせください。脆弱性が発生した場合に取得したデータを表示、変更、または保存しないでください。
  5. 他のユーザーのプライバシーを侵害しないように善意で行動し、サービスを無効にしないでください。
  6. 法律の範囲内で行動します。
  7. 報酬は、脆弱性を報告した最初の人に送られます。
  8. 解決前にインターネット上で脆弱性を公開すると、報酬がキャンセルされる場合があります脅威に応じて交渉することはありません(たとえば、脆弱性を隠蔽したり、脆弱性を開示したり、一般に公開したりする恐れがある場合の支払い額については交渉しません)。
  9. バグの処理速度は、バグの重大度とプログラマーの作業負荷によって異なり、3〜30日かかります。

報酬が支払われない脆弱性

次の質問は、報酬プログラムの範囲外です。

  1. SPF / DMARCレコードの有無に関するポリシー。
  2. パスワード、電子メール、および電子メールIDの確認、リンクの有効期限のリセット、パスワードの複雑さなどのアカウントポリシー。
  3. CSRFトークンの欠如(トークンによって保護されていない実際の機密ユーザーアクションの証拠がない場合)。
  4. ユーザーのデバイスへの物理的なアクセスを必要とする攻撃。トラフィックの傍受に関連する攻撃と同様に。 
  5. 脆弱性に直接つながることのないセキュリティヘッダーはありません。
  6. ベストプラクティスの欠如(システムの脆弱性の証拠が必要です)。
  7. 悪意のある/恣意的なコンテンツをホスティングに配置する。
  8. Self-XSSなど、それ自体に向けられた攻撃。
  9. オペレーティングシステムおよびサードパーティ製品の脆弱性の報告は受け付けますが、報奨はありません。
  10. ユーザーデータの盗難につながる可能性があることを示すことができない場合は、ヘッダーインジェクションをホストします。
  11. 既知の脆弱なライブラリを使用する(使用の証明なし)。
  12. 自動化されたツールまたはスキャンからのレポート。
  13. 古いブラウザまたはプラットフォームのユーザーに影響を与える脆弱性。
  14. HostingUkraineの従業員または請負業者のソーシャルエンジニアリング。
  15. Webフォームにオートコンプリート属性が存在する。
  16. 機密性の低いCookieのCookieフラグがありません。
  17. 安全でないSSL / TLS暗号のレポート(スキャナーからのレポートだけでなく、概念実証が機能している場合を除く)。
  18. ユーザーの電子メールがわかっている場合に、ユーザーがホスティングに登録されているかどうかを判断する機能。
  19. 当社のサービス制限の回避に関する報告。
  20. コンテンツのなりすましの脆弱性(ページにテキストまたは画像しか挿入できない場合)は範囲外です。攻撃者が画像またはリッチテキスト(HTML)を入力できるが、報奨金の対象とならないなりすましの脆弱性を受け入れて修正します。純粋なテキストの導入は範囲外です。
  21. 同じメールアドレスを使用して複数のアカウントを作成します。
  22. Unicode / punycodeまたはRTLOの問題によるフィッシングのリスク。
  23. DMARCを無効にしたことによる脆弱性。サードパーティのサーバーがSPFレコードを無視し、サードパーティのサービス(Gmailを含む)からの電子メールを受け入れることは脆弱性ではありません。
  24. あらゆる種類のフラッド攻撃、ブルートフォース攻撃、DoS 攻撃、DDoS 攻撃、およびサーバーのパフォーマンスの低下に関連する攻撃。 
  25. 攻撃者が被害者の電子メールまたは電話にアクセスできる攻撃。
  26. セキュリティ ヘッダー COEP、COOP、CORS、CORB、Referrer-policy、Content-Security-Policy、HSTS、Cookie-prefix、SameSiteCookie がありません...
  27. 使用されているソフトウェアに関する情報の入手可能性。当社はホスティングプロバイダーであり、インストールされているソフトウェアに関する情報を顧客に発表します。したがって、この情報は機密扱いにすることができません。
  28. 従業員の IP アドレスを取得することは脆弱性ではありません。テクニカル サポートではリンクが開かれ、フィッシング リンクや SVG ファイルをメールで送信できます。
  29. ユーザーが送信した画像ファイル内の EXIF データの存在。当社のクライアントは、貴重な座標を含む EXIF が含まれる可能性がある個人写真を当社のサイトに公開しません。
  30. SVG ファイルをロードしています。これらは添付ファイルとして保存され、サイトには表示されません。これにより、サイトからデータを取得することがなくなります。
  31. Social Engeneering Attacks.
  32. DNS に CAA レコードが存在する。
  33. «友好的な攻撃», 被害者からサービス利用を認められた利用者の消費額16/05/2023
  34. 公開されているCVE、公開ソフトウェアのCWE脆弱性、証明書など。
  35. 被害者のコンピューターへの物理的アクセスを必要とする攻撃26/01/2024

最終規定

  1. 特典に関連する税金はお客様の負担となります。
  2. このプログラムの条件はいつでも変更または終了する場合があります。これらのプログラム条件に加えられた変更を遡及的に適用することはありません。
  3. HostingUkraineの従業員とその家族は報酬の対象にはなりません。
  4. ウクライナをホストすると、製品への無料アクセスを提供できます。このアクセスはテストのみを目的としており、事前の通知の有無にかかわらず、いつでも取り消すことができます。