Dimar FZC LLC
Flamingo Villas A-32-01-05-03 25314 United Arab Emirates, Ajman
+971585072431, /assets/img/icons/logo/logo.svg, [email protected]
Precio Gratis
precio libre
Usamos cookies

It's safe, as cookies are only stored on your device. If you don't mind, click "Accept all cookies" or continue browsing the site. Personal data processing policy.

Números para SMS
¿No encontró el servicio que necesita?
Seleccionando un servicio
Nuestros socios y más
logo
¡Gana dinero con tarjetas SIM! Asociación con sms-activate
logo
Bot oficial de Telegram
logo
mercado de cuentas listas para usar

Infraestructura, servicios web, aplicaciones de activación por SMS

Es necesario encontrar vulnerabilidades de infraestructura, servicios y aplicaciones que tratan con datos privados. El terreno de la caza: dominios, aplicaciones móviles y de escritorio.
Informar un error
imagen-cazador-de-errores

Reglas de participación en el programa Bug Bounty

¡Bienvenido al programa Bug Bounty! Su participación ayuda a mejorar la seguridad de nuestros productos y servicios. Por favor, familiarícese con las siguientes reglas para garantizar una colaboración efectiva y ética.

Registro y Verificación

  • Registro: Para participar en el programa primero debe registrarse en el sitio web. sms-activate.es Proporcione su cuenta de Telegram durante el proceso de registro para facilitar la comunicación;
  • Verificación: Debe pasar por el proceso de verificación para recibir pagos. Se le enviarán instrucciones detalladas a través de Telegram una vez que se apruebe su informe.

Proporcionar informes

  • Estudiando las reglas: Antes de enviar su informe, familiarícese con las reglas de participación y los tipos de vulnerabilidades que pueden considerarse;
  • Formulario de informe: usa el formulario en la pagina sms-activate.es/bugbountyForm para enviar su informe. Su informe debe contener una descripción clara de la vulnerabilidad, pasos para reproducirla, evidencia (capturas de pantalla, videos) y recomendaciones para solucionarla;
  • Archivos adicionales: adjunte archivos adicionales para confirmar la vulnerabilidad si es necesario;

Proceso de revisión de informes

Su informe será analizado cuidadosamente por nuestros especialistas en seguridad. Este proceso puede tardar hasta tres meses. Durante este tiempo, al informe se le podrá asignar uno de los siguientes estados: "pendiente", "ordenado", "rechazado por el moderador", "se requiere más información" y otros.

Tipos de vulnerabilidades

EN Encontrará la lista de tipos de vulnerabilidades que no son elegibles para recibir una recompensa. En Se especifican los criterios para evaluar el nivel de importancia de una vulnerabilidad.

Verificación y privacidad

Todos los datos personales que usted proporcione con fines de verificación se utilizarán únicamente con fines de identificación y no se divulgarán a terceros sin su consentimiento. Hacemos todo lo posible para garantizar la privacidad y seguridad de sus datos.

Pagos

Después de una verificación exitosa y confirmación de la vulnerabilidad, se le ofrecerá una recompensa. El monto de la recompensa se determina en función del nivel de importancia de la vulnerabilidad y la calidad del informe proporcionado.

Normas éticas

Esperamos que los participantes actúen de manera responsable y ética. No está permitido explotar las vulnerabilidades encontradas para causar daños, obtener acceso no autorizado a datos o sistemas, o difundir información sobre la vulnerabilidad hasta que se solucione.

Conclusión

Valoramos su contribución para mejorar la seguridad de nuestros productos y servicios. Su participación ayuda a crear un espacio digital más seguro para todos nosotros.
¡Le deseamos suerte en la búsqueda de vulnerabilidades! Su contribución no tiene precio, por lo que le agradecemos su ayuda para proteger nuestros sistemas.

Apéndice A

Tipos de vulnerabilidades que no son objeto de una recompensa (vulnerabilidades de bajo nivel que no tienen consecuencias críticas si se explotan, incluidas):
  • SECO (Los informes sobre este tipo de vulnerabilidad se aceptan sólo en caso de un alto nivel de criticidad; el nivel de criticidad lo determina nuestro especialista cuando se confirma la vulnerabilidad);
  • Cualquier tipo de vulnerabilidad XSS, excepto para XSS almacenado (se aceptan informes de vulnerabilidad XSS almacenados según la importancia del recurso web);
  • Secuestro de clics;
  • URI de redireccionamiento inseguro;
  • Listado de directorio habilitado (contraseñas, copias de seguridad) y Exposición de datos confidenciales (dependiendo de los datos divulgados; se aceptan informes sobre esta vulnerabilidad si se encuentran datos críticos);
  • Modo de depuración habilitado, que no revele datos críticos;
  • vulnerabilidades CSRF, encontrado dentro de una función que no es crítica;
  • Divulgación del panel de administración. (si el cazador de errores encuentra el panel de administración, pero no puede realizar la apropiación de la cuenta u obtener otra información crítica);
  • Enumeración de usuarios sin revelar datos críticos;
  • Configuración incorrecta de seguridad, en caso de que no exista evidencia de que la amenaza se haya materializado;
  • Negarse a proporcionar servicios;
  • Correo basura;
  • Ingeniería social, dirigido a empleados, contratistas o clientes;
  • Cualquier intento físico de obtener acceso a la propiedad o a los centros de datos.
  • Dueño del sistema;
  • Informe creado mediante el uso de herramientas y escaneos automatizados;
  • Errores en un software de terceros;
  • Ausencia de encabezados de seguridad. que no conduzcan directamente a una vulnerabilidad;
  • Violación de confianza SSL/TLS;
  • Vulnerabilidades que afectan únicamente a usuarios de navegadores y plataformas obsoletos o sin licencia;
  • Políticas de recuperación de contraseñas y cuentas, como la fecha de vencimiento de un enlace de restablecimiento o la seguridad de la contraseña;
  • Registro DNS desactualizado, apuntando a un sistema que no pertenece al propietario del sistema.

Contenido

Apéndice B

Tipos de vulnerabilidades por nivel de criticidad:
Vulnerabilidad
Bajo
Medio
Alto
Recorrido de ruta
10
40
70
Listado de directorio habilitado
10
40
URI de redireccionamiento inseguro
5
10
secuestro de clics
5
Fuerza bruta
5
Inyección SQL (base de datos vacía, base de datos útil)
10
40
70
Inyección de entidad externa XML
50
70
Inclusión de archivos locales
50
Ejecución remota de código
10
50
100
Omisión de autenticación
50
90
Adquisición de cuenta
50
90
Referencias directas a objetos inseguros
10
XSS almacenado
20-30
XSS reflejado
10-20
Solicitud del lado del servidor
40-60
Falsificación de solicitudes entre sitios
10-20
Condición de carrera
10
90
Inyección de plantilla del lado del servidor
20
80
Recorrido de ruta
Bajo
10
Medio
40
Alto
70
Listado de directorio habilitado
Bajo
10
Medio
40
Alto
URI de redireccionamiento inseguro
Bajo
5
Medio
10
Alto
secuestro de clics
Bajo
5
Medio
Alto
Fuerza bruta
Bajo
5
Medio
Alto
Inyección SQL (base de datos vacía, base de datos útil)
Bajo
10
Medio
40
Alto
70
Inyección de entidad externa XML
Bajo
Medio
50
Alto
70
Inclusión de archivos locales
Bajo
Medio
50
Alto
Ejecución remota de código
Bajo
10
Medio
50
Alto
100
Omisión de autenticación
Bajo
Medio
50
Alto
90
Adquisición de cuenta
Bajo
Medio
50
Alto
90
Referencias directas a objetos inseguros
Bajo
10
Medio
Alto
XSS almacenado
Bajo
20-30
Medio
Alto
XSS reflejado
Bajo
10-20
Medio
Alto
Solicitud del lado del servidor
Bajo
Medio
40-60
Alto
Falsificación de solicitudes entre sitios
Bajo
10-20
Medio
Alto
Condición de carrera
Bajo
10
Medio
Alto
90
Inyección de plantilla del lado del servidor
Bajo
20
Medio
Alto
80

Los puntos según el nivel crítico de vulnerabilidad se otorgan de la siguiente manera:

  1. Bajo nivel de importancia: de 0 a 30 puntos;
  2. Nivel medio de importancia: de 31 a 60 puntos;
  3. Alto nivel de importancia: de 61 a 100 puntos.
  • sms-activate.es
  • hstock.org
  • ipkings.io

Recompensas

El monto de la recompensa depende de la criticidad de la vulnerabilidad, la facilidad de explotación y el impacto en los datos del usuario. El nivel de criticidad a menudo se decide junto con los desarrolladores y puede llevar más tiempo.
Vulnerabilidad
Premio
Ejecución remota de código (RCE)
$1500 - $5000
Acceso a archivos locales y otros (LFR, RFI, XXE)
$500 - $3000
Inyecciones
$500 - $3000
Secuencias de comandos entre sitios (XSS), excluyendo Self-XSS
$100 - $500
SSRF, excepto para los ciegos
$300 - $1000
SSRF ciega
$100 - $500
Fugas de memoria / IDORs / Divulgación de información con datos personales protegidos o información sensible del usuario
$70 - $1150
Otras vulnerabilidades confirmadas
Depende de la criticidad
Todas las aplicaciones SMS-Activate que tratan con datos de usuario están involucradas. Nuestras aplicaciones se pueden encontrar en GooglePlay y Tienda de aplicaciones con el nombre SMS-Activar

Aplicaciones

Vulnerabilidad
Premio
Ejecución remota de código (RCE)
$1500 - $5000
Acceso a archivos locales y otros (LFR, RFI, XXE)
$500 - $3000
Inyecciones
$500 - $3000
SSRF, excepto para los ciegos
$300 - $1000
SSRF ciega
$100 - $500
Fugas de memoria / IDORs / Divulgación de información con datos personales protegidos o información sensible del usuario
$70 - $1150
Falsificación de solicitudes entre sitios (СSRF, solicitudes Flash entre dominios, CORS)
$35 — $300
Otras vulnerabilidades confirmadas
Depende de la criticidad
{{ textos.noFundsInfo }}
{{textos.reposición}}

{{ textos.verificaciónVoiceTextFirst }}

{{ textos.verificaciónVoiceTextSecond }}

{{ textos.verificaciónVoiceTextThird }}