EN DE ES UK PL RU TR ZH
Стан сервісу Підтримка
rdp.bot

looking glass

безкоштовний сервер на 15 хвилин

Реєстрація

Вхід
UK
English Deutsch Español Українська Polski Русский Türkçe 中文

Програма Bug Bounty

Ми прагнемо забезпечити максимальну безпеку та захист даних користувачів. Якщо ви знайшли вразливість у h2.nexus, повідомте про неї приватно, і ми вас винагородимо — від 1 до 5000 $ за кожен дійсний баг, виплата на банківську картку, криптовалютою або банківським переказом.

  • $1 – $5,000діапазон винагороди
  • Картка · Криптоабо переказ
  • < 24 hперша відповідь
  • *.h2.nexusу межах програми

Про програму

Наша програма bug bounty винагороджує дослідників, які відповідально знаходять і повідомляють про вразливості безпеки на всій платформі h2.nexus — вебсайт, біллінг, термінал безкоштовного сервера та інфраструктура за ними. Мета проста: усувати реальні проблеми безпеки до того, як ними скористаються зловмисники, і справедливо винагороджувати тих, хто нам у цьому допомагає.

Кожне повідомлення розглядає наша команда. Якщо ваша знахідка дійсна, оригінальна та в межах програми, ми виплачуємо винагороду залежно від її критичності та реального впливу. Що серйозніша й чіткіше продемонстрована проблема, то вища виплата — до 5000 $ за критичні вразливості.

Винагороди за рівнем критичності

Винагорода залежить від впливу та можливості експлуатації бага. Наведені нижче діапазони — орієнтовні; остаточну суму визначають у кожному випадку окремо.

Критична $1,500 – $5,000

Віддалене виконання коду, обхід автентифікації, повне захоплення облікового запису чи сервера, доступ до даних або коштів інших клієнтів, маніпуляції з платежами.

Висока $500 – $1,500

Server-Side Request Forgery з реальним впливом, збережений XSS у панелі керування, IDOR з розкриттям чутливих даних, підвищення привілеїв.

Середня $150 – $500

Відображений XSS із впливом, CSRF на чутливих діях, розкриття чутливої інформації, порушений контроль доступу з обмеженим охопленням.

Низька $1 – $50

Друкарські помилки, помилки в контенті, візуальні проблеми чи проблеми верстки та подібні дрібниці.

Рівень критичності та остаточну винагороду визначає h2.nexus на основі CVSS, можливості експлуатації та реального впливу. За дублікати винагороду отримує лише перше дійсне повідомлення.

Межі програми

Тестуйте лише перелічені нижче ресурси й тільки з обліковими записами та даними, що належать вам.

У межах програми

  • Усе, що стосується проєкту h2.nexus, включно з усіма піддоменами
  • my.h2.nexus — особистий кабінет (BillManager 6)
  • vm.h2.nexus — панель керування серверами (VMManager 6)
  • vm-promo.h2.nexus — панель promo-серверів (VMManager 6)
  • Наші Telegram-боти: @rdpbot, @h2nexus_info_bot, @bgp_robot
  • …та інші сервіси й інфраструктура проєкту

Поза межами програми

  • Результати автоматичних сканерів без робочого Proof of Concept
  • Відсутні рекомендовані заголовки без доведеного впливу
  • DoS і DDoS — атаки на відмову в обслуговуванні та виснаження ресурсів

Як повідомити

Хороше повідомлення допомагає нам швидко відтворити та виправити проблему — і допомагає вам швидше отримати виплату.

  1. 1

    Опишіть баг

    Чітко поясніть вразливість, уражену URL-адресу чи ендпоінт і вплив на безпеку.

  2. 2

    Додайте PoC

    Наведіть точні кроки для відтворення, використані запити чи payload, а також скриншоти або коротке відео.

  3. 3

    Напишіть нам

    Надішліть усе на root@h2.nexus і дочекайтеся нашої відповіді. Будь ласка, тримайте проблему в таємниці, доки її не виправлять.

Знайшли вразливість?

Надішліть звіт на root@h2.nexus

Напишіть нам чіткий опис і Proof of Concept. Ми розглядаємо кожне повідомлення, відповідаємо якнайшвидше та винагороджуємо дійсні знахідки в межах програми.

Будь ласка, додайте кроки для відтворення, вплив, а також будь-які скриншоти чи логи.

root@h2.nexus Повідомити про баг