Print Logo
Vous utilisez une version de navigateur plus ancienne qui n'est pas complètement compatible avec notre système. Votre expérience sur notre site web pourrait ne pas être optimale surtout en ce qui concerne notre désir de vous offrir performance, sécurité et fiabilité. Considérez une mise à jour de votre navigateur si vous rencontrez des problèmes en utilisant notre site web. Plus

Soyez payé pour nous signaler des bugs et des problèmes de sécurité importants

Mettez vos talents à l’œuvre pour recevoir de l'argent comptant ou des crédits en boutique, mais surtout pour améliorer la sécurité et l'expérience de tous sur ce site.


SI VOUS PASSEZ DES COMMANDES À LA CAISSE, NE COMMANDEZ PAS DE MÉTAUX OU VOUS SEREZ BANNI DE BUG BOUNTY. COMMANDEZ UNIQUEMENT DES PLASTIQUES : https://sgb.co/accessories

Divulgation responsable

Si vous passez à la caisse ou soumettez des formulaires de contact ou de prospects, veuillez utiliser
Essayez d'éviter en tout bonne foi de violer la vie privée, de détruire des données et d'interrompre ou de détériorer nos services. N'accédez pas ou ne modifiez pas des données qui ne vous appartiennent pas. Ne publiez aucune information publiquement avant que le problème ait été réglé.

Afin d'encourager la divulgation responsable, nous n'intenterons aucune action en justice contre les chercheurs qui nous signalent un problème, pourvu qu'ils respectent les règles ci-dessous.


Voici ce qui est admissible

C'est nous qui décidons si le problème est suffisamment grave et s'il nous a été signalé préalablement. Tout problème qui peut mener à une perte financière ou à une violation des données est considéré comme étant suffisamment grave, y compris : (seule la gravité la plus élevée pour un problème donné est éligible)

Seule la gravité la plus élevée pour un problème donné est éligible

$US 3,100.00 - $US 3,500.00 Exécution de code à distance | Injection SQL
$US 800.00 - US$ 2,000.00 Contournement de l'authentification ou escalade des privilèges
$US 500.00Détournement de clic
$US 500.00 Obtention des coordonnées des utilisateurs, mais sans dénombrement
$US 300.00 XSS
$US 300.00 CSRF
$US ? Autres problèmes, à notre discrétion

Voici la portée

*.silvergoldbull.ca
*.silvergoldbull.com
*.silvergoldbull.de
*.sgb.co
alterx.com (not eligible for CSRF)
Silver Gold Bull Android app

Voici ce qui est hors de portée, ce qui n'est pas admissible

/education
XSRF sur la page de paiement (temporaire 29-05-2020)
Tarif restrictif
Les vulnérabilités sur les actifs hébergés par des tiers, y compris, mais sans limiter, ceux qui ont des entrées CNAME vers des tiers, tels que :
• affiliates.silvergoldbull.*
• autodiscover.silvergoldbull.*
• faq.silvergoldbull.*
• ifaq.silvergoldbull.*
• ira.silvergoldbull.*
• loan.silvergoldbull.*
• rrsp.silvergoldbull.*
• rsp.silvergoldbull.*
• sell.silvergoldbull.*
• sip.silvergoldbull.*
• storage.silvergoldbull.*
• trade.silvergoldbull.*
(La liste ci-dessus est un échantillon représentatif et non une liste exclusive de tous les sous-domaines Silver Gold Bull hébergés par des tiers).
Le refus de service
L'envoi de pourriels (spam)
Les problèmes déjà signalés
Les logiciels périmés
Les meilleures pratiques
Les énumérations
SPF (Cadre de politique d'expéditeur)
Les attaques nécessitant un accès physique à l'appareil d'un utilisateur
Les politiques sur les mots de passe et la récupération de comptes, comme l'expiration d'un lien de réinitialisation ou le degré de complexité des mots de passe
L'absence d'en-têtes de sécurité qui n'entraîne pas directement de vulnérabilités
L'utilisation d'une bibliothèque connue comme étant vulnérable (sans preuve d'exploitabilité)
Problèmes de logiciels ou de protocoles qui ne sont pas sous le contrôle de Silver Gold Bull
Les signalements provenant d'outils ou de lecteurs automatisés
Les signalements de pourriels (spam)
Les vulnérabilités touchant les utilisateurs de navigateurs ou de plateformes obsolètes
Le piratage psychologique des employés ou des pigistes de Silver Gold Bull
Toute menace physique contre la propriété ou les centres de données de Silver Gold Bull
faq.silvergoldbull.* websites
ifaq.silvergoldbull.* websites

Appliquez une limite de balayage automatique d'une demande par seconde

Si vous utilisez un outil de balayage automatique, la limite de balayage doit être réglée à une demande par seconde. Tout manquement à cette règle sera considéré comme étant une attaque de type DoS et entraînera la disqualification. Les balayeurs automatiques de vulnérabilités détectent en général des problèmes à faible priorité ou des faux problèmes. Avant de soumettre des résultats obtenus par balayage, veuillez vous assurer que les problèmes à signaler sont en fait valides et exploitables. Veuillez nous signaler un problème seulement si vous pouvez en faire la démonstration de faisabilité.

Envoyez un rapport approfondi

Indiquez de façon détaillée comment reproduire le bogue. Si nécessaire, veuillez inclure des captures d'écrans, les liens consultés, les pages visitées, etc. Privilégiez la qualité, non la quantité. Concentrez-vous sur les détails techniques et fournissez des explications détaillées. Évitez les commentaires hors sujet. Fournissez un scénario d'attaque concret. Comment ce problème peut-il affecter l'entreprise ou ses utilisateurs?

Conditions de paiement

Le paiement de tous les rapports de bogues éligibles sera effectué via PayPal. Il est de la responsabilité du chercheur d'avoir un compte PayPal afin de recevoir la récompense. Les instructions de paiement seront fournies lorsque le bogue sera confirmé éligible. La récompense doit être acceptée dans les 90 jours suivant la confirmation de l'éligibilité du bogue.

Nous ferons un suivi en fonction de la sévérité.

bugbounty@silvergoldbull.com