EN DE ES UK PL RU TR ZH
Status usługi Wsparcie
rdp.bot

looking glass

darmowy serwer na 15 minut

Rejestracja

Zaloguj się
PL
English Deutsch Español Українська Polski Русский Türkçe 中文

Program Bug Bounty

Dokładamy wszelkich starań, aby zapewnić maksymalne bezpieczeństwo i ochronę danych użytkowników. Jeśli znajdziesz podatność w h2.nexus, zgłoś ją prywatnie, a my Cię wynagrodzimy — od 1 do 5000 $ za każdy prawidłowy błąd, wypłacane kartą bankową, kryptowalutą lub przelewem bankowym.

  • $1 – $5,000zakres nagrody
  • Karta · Kryptolub przelew
  • < 24 hpierwsza odpowiedź
  • *.h2.nexusw zakresie

O programie

Nasz program bug bounty nagradza badaczy, którzy odpowiedzialnie znajdują i zgłaszają podatności bezpieczeństwa w całej platformie h2.nexus — witrynie, panelu rozliczeniowym, terminalu darmowego serwera i stojącej za nimi infrastrukturze. Cel jest prosty: naprawiać realne problemy bezpieczeństwa, zanim zostaną wykorzystane, i uczciwie nagradzać tych, którzy nam w tym pomagają.

Każde zgłoszenie sprawdza nasz zespół. Jeśli Twoje znalezisko jest prawidłowe, oryginalne i w zakresie, wypłacamy nagrodę zależnie od jego istotności i rzeczywistego wpływu. Im poważniejszy i wyraźniej udowodniony problem, tym wyższa wypłata — do 5000 $ za podatności krytyczne.

Nagrody według istotności

Nagrody zależą od wpływu i możliwości wykorzystania błędu. Poniższe przedziały są orientacyjne — ostateczną kwotę ustalamy indywidualnie.

Krytyczna $1,500 – $5,000

Zdalne wykonanie kodu, obejście uwierzytelniania, pełne przejęcie konta lub serwera, dostęp do danych albo środków innych klientów, manipulacja płatnościami.

Wysoka $500 – $1,500

Server-Side Request Forgery z realnym wpływem, trwały XSS w panelu sterowania, IDOR ujawniający dane wrażliwe, eskalacja uprawnień.

Średnia $150 – $500

Odbity XSS z wpływem, CSRF na wrażliwych akcjach, ujawnienie informacji wrażliwych, naruszona kontrola dostępu o ograniczonym zasięgu.

Niska $1 – $50

Literówki, błędy w treści, usterki wizualne lub układu i podobne drobiazgi.

Istotność i ostateczną nagrodę ustala h2.nexus na podstawie CVSS, możliwości wykorzystania i rzeczywistego wpływu. W przypadku duplikatów nagradzane jest tylko pierwsze prawidłowe zgłoszenie.

Zakres

Testuj wyłącznie wymienione poniżej zasoby i tylko na kontach oraz danych, które należą do Ciebie.

W zakresie

  • Wszystko w projekcie h2.nexus, w tym wszystkie subdomeny
  • my.h2.nexus — panel klienta (BillManager 6)
  • vm.h2.nexus — panel zarządzania serwerami (VMManager 6)
  • vm-promo.h2.nexus — panel serwerów promo (VMManager 6)
  • Nasze boty Telegram: @rdpbot, @h2nexus_info_bot, @bgp_robot
  • …oraz pozostałe usługi i infrastruktura projektu

Poza zakresem

  • Wyniki automatycznych skanerów bez działającego Proof of Concept
  • Brakujące nagłówki dobrych praktyk bez wykazanego wpływu
  • DoS i DDoS — ataki typu odmowa usługi i wyczerpanie zasobów

Jak zgłaszać

Dobre zgłoszenie pomaga nam szybko odtworzyć i naprawić problem — a Tobie szybciej otrzymać wypłatę.

  1. 1

    Opisz błąd

    Jasno wyjaśnij podatność, dotknięty adres URL lub endpoint oraz wpływ na bezpieczeństwo.

  2. 2

    Dodaj PoC

    Dołącz dokładne kroki odtworzenia, użyte żądania lub payloady oraz zrzuty ekranu albo krótki film.

  3. 3

    Napisz do nas

    Wyślij wszystko na root@h2.nexus i poczekaj na naszą odpowiedź. Prosimy o zachowanie problemu w tajemnicy do czasu jego naprawy.

Znalazłeś podatność?

Wyślij zgłoszenie na root@h2.nexus

Napisz do nas z jasnym opisem i Proof of Concept. Sprawdzamy każde zgłoszenie, odpowiadamy najszybciej jak się da i nagradzamy prawidłowe znaleziska w zakresie.

Prosimy dołączyć kroki odtworzenia, wpływ oraz wszelkie pomocnicze zrzuty ekranu lub logi.

root@h2.nexus Zgłoś błąd