Программа Bug Bounty
Мы стремимся обеспечить максимальную безопасность и защиту пользовательских данных. Если вы нашли уязвимость в h2.nexus, сообщите о ней приватно, и мы вас вознаградим — от 1 до 5000 $ за каждый подтверждённый баг, выплата на банковскую карту, криптовалютой или банковским переводом.
- $1 – $5,000диапазон выплат
- Карта · Криптоили перевод
- < 24 hпервый ответ
- *.h2.nexusв области
О программе
Наша программа bug bounty вознаграждает исследователей, которые ответственно находят и сообщают об уязвимостях безопасности на всей платформе h2.nexus — сайте, биллинге, терминале бесплатного сервера и инфраструктуре за ними. Цель проста: устранять реальные проблемы безопасности до того, как ими воспользуются, и честно вознаграждать тех, кто нам в этом помогает.
Каждый отчёт рассматривает наша команда. Если ваша находка подтверждена, оригинальна и входит в область программы, мы выплачиваем вознаграждение в зависимости от её критичности и реального воздействия. Чем серьёзнее и нагляднее продемонстрирована проблема, тем выше выплата — до 5000 $ за критические уязвимости.
Вознаграждения по уровню критичности
Вознаграждение зависит от воздействия и возможности эксплуатации бага. Указанные ниже диапазоны ориентировочны — итоговую сумму определяем индивидуально.
Удалённое выполнение кода, обход аутентификации, полный захват аккаунта или сервера, доступ к данным или средствам других клиентов, манипуляции с платежами.
Server-Side Request Forgery с реальным воздействием, хранимый XSS в панели управления, IDOR с раскрытием чувствительных данных, повышение привилегий.
Отражённый XSS с воздействием, CSRF на чувствительных действиях, раскрытие чувствительной информации, нарушенный контроль доступа с ограниченным охватом.
Опечатки, ошибки в тексте, визуальные проблемы или проблемы вёрстки и подобные мелочи.
Уровень критичности и итоговое вознаграждение определяет h2.nexus на основе CVSS, возможности эксплуатации и реального воздействия. За дубликаты вознаграждается только первый подтверждённый отчёт.
Область программы
Тестируйте только перечисленные ниже ресурсы и только с аккаунтами и данными, которые принадлежат вам.
В области программы
- Всё, что относится к проекту h2.nexus, включая все поддомены
- my.h2.nexus — личный кабинет (BillManager 6)
- vm.h2.nexus — панель управления серверами (VMManager 6)
- vm-promo.h2.nexus — панель promo-серверов (VMManager 6)
- Наши Telegram-боты: @rdpbot, @h2nexus_info_bot, @bgp_robot
- …и другие сервисы и инфраструктура проекта
Вне области программы
- Вывод автоматических сканеров без рабочего Proof of Concept
- Отсутствующие рекомендованные заголовки без доказанного воздействия
- DoS и DDoS — атаки на отказ в обслуживании и исчерпание ресурсов
Как сообщить
Хороший отчёт помогает нам быстро воспроизвести и устранить проблему — и помогает вам быстрее получить выплату.
- 1
Опишите баг
Понятно объясните уязвимость, затронутый URL или эндпоинт и влияние на безопасность.
- 2
Добавьте PoC
Приложите точные шаги воспроизведения, использованные запросы или payload, а также скриншоты или короткое видео.
- 3
Напишите нам
Отправьте всё на root@h2.nexus и дождитесь нашего ответа. Пожалуйста, сохраняйте проблему в тайне до её устранения.
Отправьте отчёт на root@h2.nexus
Напишите нам понятное описание и Proof of Concept. Мы рассматриваем каждый отчёт, отвечаем как можно быстрее и вознаграждаем подтверждённые находки в области программы.
Пожалуйста, приложите шаги воспроизведения, влияние, а также любые подтверждающие скриншоты или логи.