Despre
FootballCoin vă oferă șansa de a vă prezenta abilitățile manageriale, prin faptul că vă permite să vă creați echipa de fotbal perfectă. La intrarea în joc veți putea să vă înregistrați în competiții, să alegeți meciurile și să câștigați premii pe baza cunoștințelor din fotbal.
Deoarece platforma funcționează cu informații importante despre utilizatorii noștri, inclusiv despre monedele XFC și cartonașele cu jucători, apreciem toți utilizatorii care se preocupă de securitate și care se străduiesc în mod constant să anunțe cele mai recente probleme.
Încurajăm identificarea și transmiterea rapoartelor de vulnerabilitate cu privire la orice aspect legat de scopul și de obiectivele FootballCoin, incluzând, dar fără a se limita la site-ul web, aplicații și servicii.
Domeniul de aplicare al programului / obiectivele de interes
În obiectivele domeniului
- www.footballcoin.io
- game.footballcoin.io
- Componente ale blockchainului XFC (de ex. blockchain, noduri, portofele)
Obiective din afara domeniului de aplicare
Toate resursele care nu sunt definite în domeniul de aplicare.
Vulnerabilități din afara domeniului
- Vulnerabilități teoretice fără o dovadă reală a conceptului
- Eroare de verificare a e-mailului, expirarea link-urilor de resetare a parolei și politicile de complexitate a parolelor
- Fișiere SPF (Sender Policy Framework) necorespunzătoare sau lipsă (SPF / DKIM / DMARC incomplete sau lipsă)
- Corectarearea clickjacking / UI cu un impact minim asupra securității
- Enumerare E-mail sau mobilă (De exemplu abilitatea de a identifica e-mailurile prin resetarea parolei)
- Dezvăluirea informațiilor cu un impact minim asupra securității (de exemplu, urmărirea stivei, dezvăluirea căii, listele de directoare, jurnalele, erorile de aplicație sau de server)
- Probleme cunoscute pe plan intern, probleme duplicate sau probleme deja publicate
- Tab-nabbing
- Self-XSS
- Vulnerabilitățile sunt exploatabile numai în browserele sau platformele care nu sunt actualizate
- Vulnerabilități legate de formularele de auto-completare
- Folosirea bibliotecilor vulnerabile cunoscute fără o dovadă reală a conceptului
- Lipsa security flags în cookie-uri
- Probleme legate de seturile de cifre SSL / TLS nesigure sau versiunea protocolului
- Falsificarea conținutului
- Probleme legate de controlul cache-urilor
- Expunerea adresei IP interne sau a domeniilor
- Lipsa anteturilor de securitate care nu duc la exploatare directă
- CSRF cu impact neglijabil asupra securității (de ex., Adăugarea la preferințe, adăugarea în coș, abonarea la o caracteristică non-critică)
- Probleme care nu au impact asupra securității (de exemplu, incapacitatea de a încărca o pagină Web)
- Active care nu aparțin echipei FootballCoin
- Phishing (de exemplu, Phishing de autentificare HTTP de bază), spam sau inginerie socială
- Vulnerabilități CORS fără demonstrarea conceptului
- Lipsa limitelor de rată
Acțiuni și teste pentru evitare
- Testarea conturilor, altele decât cele pe care le dețineți
- Utilizarea instrumentelor de testare automată, cum ar fi scanerele de vulnerabilitate, brute force etc
- Cauzează sau încearcă să provoace o condiție Denial of Service (DoS)
- Distrugerea datelor
- Scanările automate de vulnerabilitate sunt strict interzise
- În niciun fel, nu atacați utilizatorii finali sau nu vă angajați în comerțul cu acreditări de utilizator furate
- Fără phishing
- Nu utilizați tehnici de șantaj pentru a cere câștiguri financiare
Cum se raportează vulnerabilitățile de securitate?
Folosim metodologia de evaluare a riscurilor OWASP pentru a determina nivelul de amenințare a bug-ului la adresa informațiilor despre site și / sau a rețelei XFC. Puteți să ne trimiteți un mesaj cu constatarea dvs. la adresa security@footballcoin.io , luând în considerare următorii pași care se pot lua ca angajament:
- Trimiteți-ne o scurtă descriere a vulnerabilității care ar trebui să conțină cel puțin următoarele:
- Titlul vulnerabilității
- Pagina afectată / url / ip / serviciu
- Pași pentru a reproduce problema
- Dovada vulnerabilității
- Impact (bazat pe Metodologia Scorului de risc al OWASP)
- Cum se remediază problema
- Odată trimise, vom confirma că am primit raportul dvs. cu un răspuns neautomatizat în termen de 7 zile și vă oferim un plan de răspuns pentru situații de risc, dacă este cazul. Raportul va fi verificat de specialiști independenți în domeniul securității de la Bit Sentinel , un furnizor de servicii de securitate cibernetică, cu o misiune recunoscută, aceea de a proteja întreprinderile împotriva amenințărilor cibernetice.
- Confirmăm problema și începem să lucrăm la rezolvarea acesteia
- Confirmăm că am rezolvat problema și vă cerem să retestați eroarea
- Veți fi adăugați în Hall of Fame și, dacă vulnerabilitatea este acceptată pentru recompensă, veți primi recompense
- Vulnerabilitatea poate fi dezvăluită și publicată în mod responsabil după ce ne dăm consimțământul, dar nu mai devreme de 60 de zile calendaristice de la notificarea echipei FootballCoin; divulgarea nu ar trebui să conțină informații importante despre tehnologie sau informații despre clienți
Rețineți că acceptăm, de asemenea, trimiteri anonime.
Recompense
Orice vulnerabilitate raportată și acceptată de specialiștii independenți de securitate ai Bit Sentinel va apărea în Hall of Fame în maxim 30 de zile de la confirmarea erorii.
Putem oferi recompense în monede XFC sau în cartonașe cu jucători pentru rapoarte care implică vulnerabilități critice, dar acest tip de recompensă nu este garantată pentru moment.
Nu vom oferi recompense persoanelor care se află pe listele de sancțiuni sau care se află în țările de pe listele de sancțiuni. Orice implicații fiscale intră sub responsabilitatea dvs. completă, în funcție de țara dvs. de rezidență și cetățenie. În plus, se pot aplica și alte restricții, în funcție de legislația locală.
Hall of Fame
Dorim să le mulțumim tuturor implicați în domeniul securității care ne-au ajutat să îmbunătățim securitatea produsului nostru. Mențiune specială se referă la următoarele:
Angajamentul nostru
Dacă acțiunile dvs. sunt îndeplinite cu bună-credință și dacă respectăm această politică, ne angajăm următoarele:
- Informațiile pe care le distribuiți în cadrul acestui proces vor fi păstrate confidențiale în cadrul FootballCoin și al furnizorilor contractați direct implicați în acest proces. Nu va fi împărtășită cu terțe părți fără permisiunea dvs.
- Nu vom iniția nicio acțiune juridică împotriva celor implicați în domeniul securității care încearcă să găsească vulnerabilități în cadrul sistemelor noastre și care respectă această politică și nu încearcă să divulge informații importante pentru utilizări rău-voitoare
- Dacă raportați o vulnerabilitate care afectează în mod semnificativ serviciile sau infrastructura noastră, vă mulțumim cu recunoașterea publică.
Alte limitări
- Aceasta nu este o competiție, ci mai degrabă un program experimental și discreționar de recompense. Trebuie să înțelegeți că putem anula programul în orice moment și că decizia de a plăti sau nu o recompensă trebuie să fie exclusiv la discreția noastră.
- Testarea dvs. nu trebuie să încalce nicio lege sau să perturbe / compromită orice date care nu sunt ale dvs.
- Pentru a evita potențialele conflicte de interese, nu vom acorda recompense persoanelor angajate de companiile din FootballCoin care dezvoltă coduri pentru dispozitivele acoperite de acest program
- Dacă este cazul, FootballCoin va coordona cu dvs. notificarea publică a unei vulnerabilități validate. Atunci când este posibil, am prefera ca informațiile noastre publice să fie afișate simultan.