Bug赏金计划

在Clockify中找到安全问题并获得奖励。www.yabo.11vip

政策

以下指导方针让您了解我们通常为不同类别的安全问题支付的费用。

低质量的问题可能会在这些级别以下得到奖励,所以请确保有足够的信息让我们能够复制你的问题和一步一步的说明,包括如何复制你的问题。截图也很有帮助,但请确保在按照我们的程序规则提交之前不要公开这些。

奖励

至关重要的 媒介
2500美元 1000美元 500美元 100美元

规则的报告

  • 报告一个合格的漏洞,这是在我们的计划范围内(下面)。
  • 第一个报告漏洞。
  • 合理使用自动扫描方法,以免降低服务质量。
  • 在我们解决这个问题之前,不要公开这个漏洞。
  • 仅通过由我们的安全团队监控的表格报告安全问题。
  • 永远不要试图获得访问真实用户的帐户或数据。
  • 您不能泄露、操纵或破坏任何用户数据。
  • 不要用你的测试影响用户。

在范围

Web应用程序 www.yabo.11vipwww.bmwmclr.com /注册
安卓 play.google.com/store/apps/details ? id =www.yabo.11vip me.clockify.android
iOS apps.apple.com/us/app/www.yabo.11vipclockify-time-tracker/id1304431926
Chrome扩展 chrome.google.com/webstore/detail/www.yabo.11vipclockify-time-tracker/pmjeegjhjdlccodhacdgbgfagbpmccpe
Firefox扩展 addons.mozilla.org/en-US/firefox/addon/www.yabo.11vipclockify-time-tracker/
API基础端点v1 api.www.yabo.11vipwww.bmwmclr.com / api / v1
报表的API基础端点 reports.api.www.yabo.11vipwww.bmwmclr.com / v1

的范围

帮助 www.yabo.11vipwww.bmwmclr.com /帮助/
博客 www.yabo.11vipwww.bmwmclr.com /博客/
联系 www.yabo.11vipwww.bmwmclr.com /帮助/接触
论坛 forum.www.yabo.11vipwww.bmwmclr.com /
销售联系表单 www.yabo.11vipwww.bmwmclr.com /帮助/联系/销售
Bug赏金计划 security.www.yabo.11vipwww.bmwmclr.com /
子域 * www.yabo.11vip.www.bmwmclr.com
*与Clockify应用程序无关的其他着陆页面www.yabo.11vip

我们在找什么

  • 跨站点脚本(XSS)
  • 跨站点请求伪造
  • 服务器端请求伪造(SSRF)
  • 数据库注射
  • 服务器端远程代码执行(RCE)
  • XML外部实体攻击(XXE)
  • 访问控制问题
  • 跨站点伪造敏感行动或功能请求(CSRF/XSRF)
  • 不需要登录凭证的公开管理面板
  • 没有列出来但很重要的事

我们要找的不是什么

  • 需要物理访问受害者解锁设备的漏洞
  • 拒绝服务攻击
  • 蛮力攻击
  • 垃圾邮件或社会工程技术
  • 内容欺骗
  • 最佳实践问题
  • 与密码策略有关的问题
  • 与令牌生存期相关的问题
  • 用户枚举
  • 任何财产的全路径披露
  • 可以使用csrf的操作,不需要使用身份验证(或会话)
  • 版本号信息公开
  • 与丢失安全头相关的报告
  • CSV注入
  • 反向美味小吃
  • 不代表任何安全风险的bug
  • 构建在Clockify API上的第三方应用程序或服务中的安全漏洞www.yabo.11vip
  • 仅适用于不受支持的浏览器的漏洞