Profesionální bezpečnostní služby pro Váš webWebAlert.cz ~ systém naprogramovaný etickými hackery
Registrace Online testy zdarma

Bug bounty program

Bezpečnost dat a soukromí našich uživatelů bereme velmi vážně, jedná se pro nás o největší prioritu. Bug bounty program je tak nedílnou součástí našeho projektu. Žádný systém není bez chyby, proto vyzýváme všechny uživatele, aby nám pomohli s testováním bezpečnosti. Pokud si myslíte, že jste nalezli bezpečnostní zranitelnost, neváhejte nás kontaktovat. Co nejdříve se vám ozveme zpět, budeme usilovně pracovat na opravě a následně vás odměníme!

Bezpečnostní zranitelnosti můžete reportovat na: [email protected] (PGP key).

Pravidla

  • Vyvarujte se přístupu k datům jiných uživatelů
  • Právo na odměnu získává ten, kdo nahlásí zranitelnost jako první
  • Po nalezení bezpečnostní zranitelnosti nás kontaktujte co nejdříve
  • Nalezené zranitelnosti je možné reportovat pouze prostřednictvím e-mailu
  • Nezveřejňujte informace o nalezené zranitelnosti, dokud nebude opravena

Odměny za zranitelnosti

Celý projekt je stále ve vývoji, nejedná se o produkční verzi. Momentálně nenabízíme finanční odměny. Za nalazení bezpečnostní zranitelnosti získáte placený tarif / slevu dle závažnosti reportu, věcnou odměnu (swag) a zveřejnění vašeho jména, přezdívky a odkazu na zdi slávy.

Registrace a přístup k aplikaci

Samotná aplikace WebAlert.cz je přístupná pouze pro přihlášené uživatele. Přístup k placeným funkcím zdarma zpřístupníme pouze pro vybrané testery. Open-source nástroje (Android aplikace, Google Chrome rozšíření) a "Online testy zdarma" je možné testovat bez registrace.

Na co se zaměřit

  • SQLi (SQL Injection)
  • XSS (Cross-site Scripting)
  • RCE (Remote Code Execution)
  • HPP (HTTP Parameter Pollution)
  • CSRF (Cross-Site Request Forgery)
  • IDOR (Insecure Direct Object Reference)
  • Authentication bypass, 2fa
  • Obtaining sensitive information
  • Real server IP address disclosure
  • Privilege escalation (vertical & horizontal)

Vyjímky vyloučené z programu

  • Tabnabbing attacks
  • DDoS & DoS attacks
  • CSRF with limited impact
  • Content-Security-Policy bypass
  • SSL Attacks, insecure cipher suites
  • Social engineering / phishing attacks
  • Fingerprinting/banner/version disclosure
  • Functional bugs and/or spelling mistakes
  • Login or Forgot Password page brute force
  • Vulnerabilities that we determine to be an acceptable risk
  • HTTP 404 codes/pages or other HTTP non-200 codes/pages

img

Zeď slávy (Hall of Fame) ~ velice si vážíme nahlášených zranitelností od:

  • Kamil Vavra - (XSS, CSRF, SQLi, RCE, Authentication Bypass)

Cíle Bug bounty programu

Používáním automatických nástrojů může dojít k zablokování vaší IP adresy

Povolený rozsah testování
*.webalert.cz
WebAlert.cz Android aplikace
WebAlert.cz Google Chrome rozšíření
Open-source projekty (gitlab.com/WebAlertCZ)

Mimo rozsah testování
blog.webalert.cz
report.webalert.cz
uptime.webalert.cz

Služby třetích stran

WebAlert.cz využívá řadu služeb třetích stran. Nemůžeme povolit testování zabezpečení systémů, které nám nepatří, ale důrazně doporučujeme při nalezení zranitelnosti kontaktovat přímo poskytovatele těchto služeb:


Použité technologie

Ubuntu, Nginx, Perl (Dancer2), MySQL

Pokud se reportované zranitelnosti týkají knihovny třetích stran (například JQuery), externího projektu nebo jiného dodavatele, vyhrazujeme si právo předat podrobnosti o nahlášené chybě vývojářům těchto projektů.