Chương Trình Săn Lỗi Bảo Mật Nhận Tiền Thưởng

01.

Mục tiêu

Chương trình Bug Bounty nhằm mục đích khuyến khích các chuyên gia bảo mật tham gia tìm kiếm và báo cáo các lỗ hổng bảo mật trong phần mềm SlimCRM. Thông qua chương trình này, SlimCRM có thể cải thiện chất lượng bảo mật của sản phẩm, giảm thiểu rủi ro bị tấn công của người dùng.

03.

Phạm vi

Các lỗ hổng cần tập trung

  • Cross Site Scripting (XSS)
  • Cross-Site Request Forgery (CSRF)
  • SQL Injection (SQLi)
  • Các vấn đề liên quan đến Authentication hoặc Authorization
  • Data Exposure
  • Remote Code Execution
  • Business Logic

02.

Đối tượng tham gia

Chương trình này dành cho tất cả các chuyên gia bảo mật, bao gồm:

  • Các nhà nghiên cứu bảo mật độc lập
  • Các chuyên gia bảo mật của các tổ chức, doanh nghiệp
  • Các sinh viên, học sinh có kiến thức và kỹ năng về bảo mật

04.

Các lỗi không hợp lệ

Tùy thuộc vào tác động của lỗ hổng, một số vấn đề được báo cáo có thể không được xem là lỗi hợp lệ. Chúng tôi sẽ xem xét chúng theo từng trường hợp cụ thể. Dưới đây là một số loại lỗi sẽ không nhận được thưởng

  • Các lỗi không tuân theo logic của người dùng và sẽ khó xảy ra thực tế
  • Các lỗi chỉ xảy ra khi sử dụng trình duyệt hay plugin phiên bản rất thấp
  • Lỗi cho phép lấy thông tin phiên bản của các công nghệ web
  • URL redirection
  • Email spoofing
  • DDoS

Mức Thưởng

Mức thưởng cho các lỗ hổng bảo mật được báo cáo sẽ được xác định dựa trên mức độ nghiêm trọng và rủi ro của lỗ hổng.

Mức độ nghiêm trọng

Mức thưởng
Nhẹ (Low) 500.000 đ - 1.000.000 đ
Trung bình (Medium) 1.000.000đ - 1.500.000đ
Cao (High) 1.500.000đ - 3.000.000đ
Cực kỳ cao (Critical) 3.000.000đ - 5.000.000 đ

Thủ tục báo cáo

Để báo cáo lỗ hổng bảo mật, người tham gia cần gửi email đến địa chỉ [info@vinno.vn] với nội dung bao gồm:

  • Mô tả chi tiết về lỗ hổng
  • Bằng chứng về lỗ hổng
  • Cách thức tái hiện lỗ hổng

Thủ tục xử lý

Sau khi nhận được báo cáo lỗ hổng


  • SlimCRM sẽ tiến hành xác minh lỗ hổng trong vòng 30 ngày. Nếu lỗ hổng được xác minh là chính xác, SlimCRM sẽ tiến hành vá lỗ hổng và trả thưởng cho người tham gia.

Chính sách bảo mật

SlimCRM cam kết bảo mật thông tin cá nhân của người tham gia. Thông tin cá nhân của người tham gia sẽ chỉ được sử dụng cho mục đích liên hệ và trao đổi thông tin về lỗ hổng bảo mật

Chương trình Bug Bounty này là một cơ hội tốt để các chuyên gia bảo mật tham gia tìm kiếm, báo cáo các lỗ hổng bảo mật và nhận được mức thưởng ghi nhận cho công sức của mình.

Đồng thời, thông qua chương trình này, SlimCRM cũng có thể cải thiện chất lượng bảo mật của sản phẩm, giảm thiểu rủi ro bị tấn công của người dùng.