Print Logo
Vous utilisez une version de navigateur plus ancienne qui n'est pas complètement compatible avec notre système. Votre expérience sur notre site web pourrait ne pas être optimale surtout en ce qui concerne notre désir de vous offrir performance, sécurité et fiabilité. Considérez une mise à jour de votre navigateur si vous rencontrez des problèmes en utilisant notre site web. Plus

Soyez payé pour nous signaler des bugs et des problèmes de sécurité importants

Mettez votre expérience à profit pour gagner de l'argent ou des crédits, mais surtout pour améliorer et sécuriser l'expérience de chacun ici meilleure et plus sûre.


SI VOUS PASSEZ COMMANDE À LA CAISSE, NE COMMANDEZ PAS DE MÉTAUX OU VOUS SEREZ BANNI DE NOTRE PROGRAMME BUG BOUNTY. NE COMMANDEZ QUE DES PRODUITS EN PLASTIQUES : https://sgb.co/accessories

En cas de vérification ou d'envoi de formulaires, utilisez Test comme prénom et nom de famille. Veillez à ce que la valeur des commandes tests de paiement soient inférieurs à 100 $.

Divulgation responsable

S'efforcer de bonne foi d'éviter les violations de la vie privée, la destruction des données et l'interruption ou la dégradation de nos services.
N'accédez pas aux données qui ne vous appartiennent pas et ne les modifiez pas.
Ne rendez aucune information publique tant que le problème n'a pas été résolu.

Afin d'encourager une divulgation responsable, nous n'engagerons pas de poursuites judiciaires contre les chercheurs qui signalent un problème, à condition qu'ils fassent de leur mieux pour respecter les directives ci-dessus.


Voici ce qui est admissible

Nous décidons si le seuil minimal de gravité est atteint et si l'incident a déjà été signalé.
Tout ce qui présente un potentiel de perte financière ou de violation de données est d'une gravité suffisante, y compris :

$US 2,000.00 - $US 3,500.00 Exécution de code à distance | Injection SQL
$US 800.00 - US$ 2,000.00 Contournement de l'authentification ou escalade des privilèges
$US 500.00 - US$ 800.00Le détournement de clic
$US 500.00 Obtention des coordonnées des utilisateurs, mais sans dénombrement
$US 300.00 - US$ 500.00 XSS / CSRF
$US 50.00 - $US 300.00 Autres problèmes, à notre discrétion

Seule la gravité la plus élevée pour un problème donné est éligible


Voici la portée

*.silvergoldbull.ca
*.silvergoldbull.com
*.silvergoldbull.de
*.sgb.co
Silver Gold Bull Android app (Latest version)

Ceci est hors champ, non éligible

- /education
- CSRF sur la page de paiement
- Tarif restrictif
- Vulnérabilités sur les biens hébergés par des tiers, y compris, mais sans s'y limiter, ceux qui ont des entrées CNAME vers des tiers, tels que les sites suivants :
• affiliates.silvergoldbull.*
• autodiscover.silvergoldbull.*
• faq.silvergoldbull.*
• ifaq.silvergoldbull.*
• ira.silvergoldbull.*
• loan.silvergoldbull.*
• rrsp.silvergoldbull.*
• rsp.silvergoldbull.*
• sell.silvergoldbull.*
• sip.silvergoldbull.*
• storage.silvergoldbull.*
• trade.silvergoldbull.*
(La liste est un échantillon représentatif et non une liste exclusive de tous les sous-domaines Silver Gold Bull hébergés par des tiers.)
- Le refus de service
- L'envoi de pourriels (spam)
- Précédemment signalés ou connus de nous
- Logiciels/plugins obsolètes
- Meilleures pratiques (expiration des jetons, etc. - à moins de provoquer une vulnérabilité critique).
- Les énumérations
- Sécurité du courrier électronique (SPF/DMARC/DKIM/ARC etc. - à moins qu'il ne s'agisse d'une vulnérabilité critique).
- Les attaques nécessitant un accès physique à l'appareil d'un utilisateur
- Les politiques sur les mots de passe et la récupération de comptes, comme l'expiration d'un lien de réinitialisation ou le degré de complexité des mots de passe
- En-têtes de sécurité HTTP manquants qui ne conduisent pas directement à une vulnérabilité
- L'utilisation d'une bibliothèque connue comme étant vulnérable (sans preuve d'exploitabilité)
- Problèmes de logiciels ou de protocoles qui ne sont pas sous le contrôle de Silver Gold Bull
- Les signalements provenant d'outils ou de lecteurs automatisés
- Les signalements de pourriels (spam)
- Les vulnérabilités touchant les utilisateurs de navigateurs ou de plateformes obsolètes
- Le piratage psychologique des employés ou des pigistes de Silver Gold Bull
- Toute menace physique contre la propriété ou les centres de données de Silver Gold Bull
- Drapeaux de Cookie (secure/httponly etc.)
- Problèmes TLS/SSL (Chiffres faibles etc.)

Numérisation automatisée

Si vous utilisez des outils d'analyse automatisés, leurs requêtes doivent être limitées à un maximum de 5 requêtes par seconde.
Le non-respect de cette règle peut être considéré comme une attaque DoS et entraînera la disqualification.
Les scanners de vulnérabilité automatisés ont souvent des problèmes de faible priorité et/ou des faux positifs.
Avant de soumettre les résultats d'un scanner, veuillez prendre le temps de confirmer que les problèmes signalés sont réellement valides et exploitables.

Instructions pour la soumission

Envoyez les étapes détaillées de la reproduction du bogue à [email protected].
Veuillez inclure des captures d'écran, les liens sur lesquels vous avez cliqué, les pages visitées, etc.
Il est préférable d'inclure une preuve de concept vidéo si la reproduction du bogue nécessite de nombreuses étapes.
Concentrez-vous sur les détails techniques et fournissez des explications précises : évitez les commentaires hors sujet.
Fournissez un scénario d'attaque concret. Montrez clairement quel sera l'impact sur l'entreprise ou sur les utilisateurs.

Conditions de paiement

Le paiement de tous les rapports de bogues éligibles sera effectué via PayPal.
Il incombe au chercheur de disposer d'un compte PayPal pour recevoir la récompense.
Les instructions de paiement seront fournies lorsque l'éligibilité du bogue sera confirmée. La récompense doit être accentuée dans les 90 jours suivant la confirmation de l'éligibilité du bogue.

Nous ferons un suivi en fonction de la sévérité.


[email protected]