Dimar FZC LLC
Flamingo Villas A-32-01-05-03 25314 United Arab Emirates, Ajman
+971585072431, /assets/img/icons/logo/logo.svg, [email protected]
Preço grátis
Preço grátis
Usamos cookies

It's safe, as cookies are only stored on your device. If you don't mind, click "Accept all cookies" or continue browsing the site. Personal data processing policy.

Números para SMS
Não encontrou o serviço que precisa?
Selecionando um serviço
Nossos parceiros e muito mais
logotipo
Ganhe dinheiro com cartões SIM! Parceria com sms-ativar
logotipo
Bot oficial do telegrama
logotipo
marketplace de contas prontas

Infraestrutura, serviços Web, aplicativos ativados por SMS

Você precisa encontrar vulnerabilidades de infraestrutura, serviços e aplicações que lidam com dados privados. A área de caça: domínios, aplicativos móveis e desktop.
Informar um erro
imagem de caçador de bugs

Regras de participação no programa Bug Bounty

Bem-vindo ao programa Bug Bounty! A sua participação ajuda a melhorar a segurança dos nossos produtos e serviços. Por favor, familiarize-se com as seguintes regras para garantir uma colaboração eficaz e ética

Registro e Verificação

  • Cadastro: para participar do programa você primeiro precisa se cadastrar no site sms-ativar.guru Forneça sua conta Telegram durante o processo de registro para facilitar a comunicação;
  • Verificação: Você deve passar pelo processo de verificação para receber pagamentos. Instruções detalhadas serão enviadas a você via Telegram assim que seu relatório for aprovado.

Fornecendo relatórios

  • Estudando as regras: Antes de enviar seu relato, familiarize-se com as regras de participação e os tipos de vulnerabilidades que podem ser consideradas;
  • Formulário de relatório: use o formulário na página sms-activate.pt/bugbountyForm para enviar seu relatório. Seu relatório deve conter uma descrição clara da vulnerabilidade, etapas para reproduzi-la, evidências (capturas de tela, vídeos) e recomendações para correção;
  • Arquivos adicionais: anexe arquivos adicionais para confirmar a vulnerabilidade, se necessário;

Revisão do processo de relatórios

Seu relatório será cuidadosamente analisado por nossos especialistas em segurança. Esse processo pode levar até três meses. Durante esse período, o relatório poderá receber um dos seguintes status: “pendente”, “classificado”, “rejeitado pelo moderador”, “requer mais informações”, entre outros.

Tipos de vulnerabilidades

EM você encontrará a lista de tipos de vulnerabilidades que não são elegíveis para receber uma recompensa. Em são especificados critérios para avaliar o nível de importância de uma vulnerabilidade.

Verificação e privacidade

Todos os dados pessoais fornecidos por você para fins de verificação serão utilizados exclusivamente para fins de identificação e não serão divulgados a terceiros sem o seu consentimento. Fazemos todo o possível para garantir a privacidade e segurança dos seus dados.

Pagamentos

Após verificação bem-sucedida e confirmação da vulnerabilidade, você receberá uma recompensa. O valor da recompensa é determinado com base no nível de importância da vulnerabilidade e na qualidade do relatório fornecido.

Normas éticas

Esperamos que os participantes atuem de forma responsável e ética. Não é permitido explorar vulnerabilidades encontradas para causar danos, obter acesso não autorizado a dados ou sistemas ou divulgar informações sobre a vulnerabilidade até que ela seja corrigida.

Conclusão

Valorizamos sua contribuição para melhorar a segurança de nossos produtos e serviços. Sua participação ajuda a criar um espaço digital mais seguro para todos nós.
Desejamos-lhe boa sorte na busca por vulnerabilidades! Sua contribuição não tem preço, por isso estamos gratos por sua ajuda na segurança de nossos sistemas.

Apêndice A

Tipos de vulnerabilidades que não são objeto de recompensa (vulnerabilidades de baixo nível que não têm consequências críticas se exploradas, inclusive):
  • SECO (relatórios sobre este tipo de vulnerabilidade são aceitos apenas em caso de alto nível de criticidade; o nível de criticidade é determinado pelo nosso especialista quando a vulnerabilidade é confirmada);
  • Qualquer tipo de vulnerabilidade XSS, exceto para Stored XSS (relatórios de vulnerabilidade de Stored XSS são aceitos dependendo da importância do recurso web);
  • Clickjacking;
  • URI de redirecionamento inseguro;
  • Listagem de diretório ativada (senhas, backups) e Exposição de dados confidenciais (dependendo dos dados divulgados; relatórios sobre esta vulnerabilidade são aceitos se forem encontrados dados críticos);
  • Modo de depuração ativado, que não divulga dados críticos;
  • Vulnerabilidades CSRF, encontrado dentro de uma função que não é crítica;
  • Divulgação do painel de administração (se o caçador de bugs encontrar o painel de administração, mas não conseguir assumir o controle da conta ou obter outras informações críticas);
  • Enumeração de usuários sem divulgação de dados críticos;
  • Configuração incorreta de segurança, caso não haja provas de que a ameaça se concretizou;
  • Recusar-se a prestar serviços;
  • Spam;
  • Engenharia social, dirigido a funcionários, prestadores de serviços ou clientes;
  • Quaisquer tentativas físicas de obter acesso a propriedades ou data centers
  • Proprietário do sistema;
  • Relatório criado usando ferramentas e verificações automatizadas;
  • Erros em software de terceiros;
  • Ausência de cabeçalhos de segurança que não levam diretamente a uma vulnerabilidade;
  • Violação de confiança SSL/TLS;
  • Vulnerabilidades que afetam apenas usuários de navegadores e plataformas desatualizados ou não licenciados;
  • Políticas de recuperação de senha e conta, como a data de expiração de um link de redefinição ou a força da senha;
  • Registro DNS desatualizado, apontando para um sistema que não pertence ao proprietário do sistema.

Conteúdo

Apêndice B

Tipos de vulnerabilidades por nível de criticidade:
Vulnerabilidade
Baixo
Médio
Alto
Travessia de caminho
10
40
70
Listagem de diretório ativada
10
40
URI de redirecionamento inseguro
5
10
Sequestro de cliques
5
Força Bruta
5
SQL Injection (banco de dados vazio, banco de dados útil)
10
40
70
Injeção de entidade externa XML
50
70
Inclusão de arquivo local
50
Execução Remota de Código
10
50
100
Ignorar autenticação
50
90
Aquisição de conta
50
90
Referências de objetos diretos inseguros
10
XSS armazenado
20-30
XSS refletido
10-20
Solicitação do lado do servidor
40-60
Falsificação de solicitação entre sites
10-20
Condição de corrida
10
90
Injeção de modelo no lado do servidor
20
80
Travessia de caminho
Baixo
10
Médio
40
Alto
70
Listagem de diretório ativada
Baixo
10
Médio
40
Alto
URI de redirecionamento inseguro
Baixo
5
Médio
10
Alto
Sequestro de cliques
Baixo
5
Médio
Alto
Força Bruta
Baixo
5
Médio
Alto
SQL Injection (banco de dados vazio, banco de dados útil)
Baixo
10
Médio
40
Alto
70
Injeção de entidade externa XML
Baixo
Médio
50
Alto
70
Inclusão de arquivo local
Baixo
Médio
50
Alto
Execução Remota de Código
Baixo
10
Médio
50
Alto
100
Ignorar autenticação
Baixo
Médio
50
Alto
90
Aquisição de conta
Baixo
Médio
50
Alto
90
Referências de objetos diretos inseguros
Baixo
10
Médio
Alto
XSS armazenado
Baixo
20-30
Médio
Alto
XSS refletido
Baixo
10-20
Médio
Alto
Solicitação do lado do servidor
Baixo
Médio
40-60
Alto
Falsificação de solicitação entre sites
Baixo
10-20
Médio
Alto
Condição de corrida
Baixo
10
Médio
Alto
90
Injeção de modelo no lado do servidor
Baixo
20
Médio
Alto
80

Os pontos de acordo com o nível crítico de vulnerabilidade são atribuídos da seguinte forma:

  1. Baixo nível de importância – de 0 a 30 pontos;
  2. Nível médio de importância – de 31 a 60 pontos;
  3. Alto nível de importância – de 61 a 100 pontos.
  • sms-ativar.guru
  • hstock.org
  • ipkings.io

Recompensas

O valor da recompensa depende da criticidade da vulnerabilidade, da facilidade de exploração e do impacto nos dados do usuário. O nível de criticidade geralmente é decidido em conjunto com os desenvolvedores e pode levar mais tempo.
Vulnerabilidade
Recompensa
Execução Remota de Código (RCE)
$1500 - $5000
Acesso a arquivos locais e outros (LFR, RFI, XXE)
$500 - $3000
Injeções
$500 - $3000
Cross-Site Scripting (XSS), excluindo Self-XSS
$100 - $500
SSRF, exceto cegos
$300 - $1000
SSRF cego
$100 - $500
Vazamentos de memória/IDORs/Divulgação de informações com dados pessoais protegidos ou informações confidenciais do usuário
$70 - $1150
Outras vulnerabilidades confirmadas
Depende da criticidade
Todos os aplicativos SMS-Activate que lidam com dados do usuário estão envolvidos. Nossas aplicações podem ser encontradas em Google Play e Loja de aplicativos pelo nome SMS-Activate

Aplicativos

Vulnerabilidade
Recompensa
Execução Remota de Código (RCE)
$1500 - $5000
Acesso a arquivos locais e outros (LFR, RFI, XXE)
$500 - $3000
Injeções
$500 - $3000
SSRF, exceto cegos
$300 - $1000
SSRF cego
$100 - $500
Vazamentos de memória/IDORs/Divulgação de informações com dados pessoais protegidos ou informações confidenciais do usuário
$70 - $1150
Falsificação de solicitação entre sites (СSRF, solicitações Flash entre domínios, CORS)
$35 — $300
Outras vulnerabilidades confirmadas
Depende da criticidade
{{textos.noFundsInfo}}
{{textos.reabastecimento}}

{{texts.verificationVoiceTextFirst}}

{{texts.verificationVoiceTextSecond}}

{{texts.verificationVoiceTextThird}}