BUG BOUNTY
Code de conduite
- Pas d'attaque de type Déni de service, ni Brute-Force, d'attaque par ingénierie sociale ou d'attaque physique et pas de spam !
- Ne pas divulguer publiquement de Bug avant que celui-ci ne soit fixé.
- Nous nous réservons le droit d'annuler ce programme à tout moment et la décision de payer une récompense reste à notre entière discrétion.
- Vous ne devez pas enfreindre la loi et rester dans le périmètre fixé.
- Vous ne devez ni perturber le service ni corrompre les données personnelles.
- Tout manquement au règlement entraînera l’invalidité de la soumission voire l’exclusion du programme de Bug Bounty ou encore pire...
Généralités
- Chaque hunter aura l’obligation d’avoir un compte sur la plateforme de Bug Bounty bountyfactory.io afin de valider le règlement avant de chasser les bugs et d'accéder aux différents programmes.
- Chaque Hunter du bug bounty de la nuit du hack sera soumis via son inscription aux conditions d'utilisation de la plateforme de bug bounty bountyfactory.io.
- Chaque inscrit se verra attribuer le titre de membre d’HZV pour toute la durée de la Nuit Du Hack 2018.
- Aucun(s) employé(s) (actuel(le) ou passé) des périmètres du programme ne peut prétendre au programme
Comité de validations
- Décisionnel : Solo
- Metier : Périmètre du programme
- Pwnage : Onemore, Nicob, Skunk
Admissibilité
Règles pour être admissible à une récompense:
- Respecter le règlement de chaque programme décrit sur bountyfactory.io
- Être la première personne à signaler une vulnérabilité.
- Soumission d’un bug qui pourrait compromettre l’intégrité des données des utilisateurs, contourner la protection de confidentialité des données des utilisateurs ou permettre l’accès à un système au sein de l’infrastructure, tels que : le contournement de l'authentification, injections XSS/SQL/XML, CSRF, SSRF, exécution de code arbitraire distant...
- Si le problème que vous avez soumis n'atteint pas la gravité pour une prime, mais que nous pensons qu'il souligne quelque chose d'utile, nous serons heureux de vous rétribuer par un "Bounty"®.
- Seule une exploitation provenant d'une des adresses IP attribuées à la Nuit du Hack sera considérée comme valable.
- Le comité de validation se réserve le droit de décider si la soumission est admissible à un bounty ainsi que son montant ou à un "Bounty"®.
NON Admissibilité
Les bugs suivants ne sont pas admissibles au programme de récompense:
- Duplicat d’un bug déjà soumis
- Vulnérabilité de tous types pour laquelle l'exploitation est peu probable ou non reproductible (Valeur aléatoire ou difficile à obtenir et nécessaire à l'exploitation), CSRF dans la fonction de déconnexion.
- Flag “HTTP only” manquant sur les cookies touchant à l'authentification-identification.
- "Secure" flags manquant pour tous types de cookies .
- Headers "X-Frame-Options", "Strict-Transport-Security", "Nosniff", "X-Xss-Protection" manquants
- Bugs de sécurité des sites Web tiers qui s’intègrent aux périmètres du programme.
- Vulnérabilités par déni de service, bruteforce
- Contenus indésirables ou toutes autres techniques d’ingénierie sociale.
- Le comité de validation se réserve le droit de décider si la soumission est admissible à un bounty ainsi que son montant ou à un ["Bounty"®] ((http://en.wikipedia.org/wiki/Bounty_(chocolate_bar))
Soumission des bugs
Veuillez respecter les règles suivantes:
- Utilisation exclusive de la plateforme de Bug Bounty BountyFactory.io /(Check de pseudo/hash - Timestamp de soumission)/
- Fournir suffisamment d'informations pour analyser le cheminement de l'attaque ainsi que de pouvoir aisément la rejouer, ce qui simplifiera les validations des soumissions, ce qui aura un impact sur le montant de la récompense.
- La validité de chaque soumission ainsi que le montant des rétributions seront décidés par le comité de validation.
- 10h30 Ouverture du Bounty, présentation du Bounty, comité de validations
Récompenses
- Hall of Fame (HoF) pour tous et pour toute la durée du Bounty
- Bounty dans la limite du pool, montant selon criticité / élégance / documentation (Tous les paiements se feront au travers de la plateforme BountyFactory.io
- « Bounty » ®
Glossaire
- Bounty : récompense financière suite à signalement d'un bug pertinent, conforme au règlement et intéressant
- « Bounty » ®: récompense nutritive suite à signalement d'un bug pertinent et conforme au règlement ([un vrai] (http://en.wikipedia.org/wiki/Bounty_(chocolate_bar)
- Dashboard : interface de la plateforme BountyFactory.io permettant aux Hunters de s'inscrire, de signaler des bugs et de suivre leur évolution
- Hunter : personne participant au concours et située physiquement sur le lieu de la Nuit du Hack