Chuyển đến nội dung chính

Các thuộc tính của chương trình

Thông tin tổ chức

Các thông tin ở đây sẽ được công bố công khai đến cộng đồng an ninh mạng sample_program.png
  1. Tên: Là tên sản phẩm hoặc tên chương trình Bug Bounty mà doanh nghiệp muốn hiển thị cho cộng đồng thấy
  2. Mô tả tiếng Việt/tiếng Anh: Một câu mô tả ngắn về sản phẩm hoặc doanh nghiệp chủ chương trình
  3. Tên rút gọn: Một từ để sử dụng cho link truy cập chương trình. Đường link này sẽ có dạng
    https://whitehub.net/programs /<tên rút gọn>/
  4. Màu sắc/logo chương trình: Là màu sắc/logo của thương hiệu
  5. Email, số điện thoại, địa chỉ, thông tin mạng xã hội: Là các thông tin khác tương ứng
sample_program2.png

Kiểu chương trình

Một chương trình Bug Bounty có thể thuộc 1 trong 3 kiểu sau:
  1. Công khai (Public): Chương trình được hiển thị công khai toàn bộ thông tin và tất cả nhà nghiên cứu trên hệ thống WhiteHub đều có thể tham gia.
  2. Hạn chế (Semi-Private): Chương trình được hiển thị công khai tên nhưng bí mật nội dung. Tất cả chuyên gia đều nhìn thấy tên chương trình nhưng muốn tham gia phải gửi yêu cầu và chờ sự đồng ý của chủ chương trình
  3. Bí mật (Private): Chương trình không được hiển thị công khai và chỉ những nhà nghiên cứu được WhiteHub mời mới có thể nhìn thấy và tham gia.

Phạm vi chương trình

Phạm vi chương trình là danh sách các đối tượng cần hoặc không cần được test security của doanh nghiệp. WhiteHub hỗ trợ nhiều loại đối tượng khác nhau như website, mobile app, source code, thiết bị phần cứng… Phạm vi được chia làm 2 loại:
  1. In scope: Các đối tượng cần được test security, chẳng hạn như một địa chỉ website (https://whitehub.net), một wildcard domain (*.whitehub.net) hay một ứng dụng mobile trên store.
  2. Out of scope: Các đối tượng không cần được test security. Thường thì đây là những sản phẩm do đối tác quản lý hoặc vấn đề security của chúng ít có ảnh hưởng đến doanh nghiệp.
scope.png

Mức thưởng

Mức thưởng được căn cứ theo mức độ nguy hiểm của lỗ hổng và do doanh nghiệp tự quy định. reward.png

Các quy định

Đây là nội dung do doanh nghiệp tự định nghĩa về các quy định cụ thể trong việc tìm lỗ hổng, chẳng hạn:
  • Các loại lỗi cần tập trung: SQLi, remote code execution, data leakage, authorization bypass…
  • Các loại lỗi không hợp lệ: Các lỗi không tuân theo logic của người dùng và sẽ khó xảy ra thực tế, lỗi chỉ xảy ra khi sử dụng trình duyệt hay plugin phiên bản rất thấp, lỗi cho phép lấy thông tin phiên bản của các công nghệ web…
  • Hướng dẫn truy cập ứng dụng
  • Các hành vi bị nghiêm cấm