Reportar vulnerabilidades

Introdução

Após se cadastrar como pesquisador na plataforma, você obterá acesso aos torneios disponíveis e poderá começar a reportar suas primeiras vulnerabilidades.

Visualização dos Torneios

Na Bypassec, podemos ter dois tipos de torneios:

  • Públicos: acessíveis a todos os pesquisadores

  • Privados: restrito para pesquisadores com melhores desempenhos e selecionados pela própria Bypassec.

Para visualizar os torneios disponíveis, acesse a aba "Torneios" dentro da plataforma:

Cada torneio possui a sua própria política de testes e escopo que pode ser visualizada ao clicar sobre o torneio.

É estritamente proibido realizar testes em ativos que não estejam explicitamente definidos na seção de escopo, conforme descrito nos Termos e Condições da plataforma.

Reportando Vulnerabilidades

Para reportar uma vulnerabilidade, preencha todos os campos disponíveis e descreva com detalhes o processo de exploração.

Após reportar a vulnerabilidade, você poderá acompanha-la em na aba "Dashboard":

Validação das Vulnerabilidades

Ao reportar vulnerabilidades, as mesmas passarão por um processo de validação pelo time da Bypassec antes de terem seus status atualizados.

Relatórios incompletos ou que não contenham uma clara descrição e passos para reprodução, serão automaticamente invalidados e não estarão elegíveis para recompensa.

Da mesma forma, vulnerabilidades que não demonstrem impacto relevante para a organização serão consideradas inválidas.

Os relatórios são validados apenas após a finalização do Torneio.

Os status existentes são:

  • Pendente: A vulnerabilidade foi reportada e será validada pela Bypassec ao final do torneio.

  • Duplicada: A vulnerabilidade é válida e também foi relatada por outros pesquisadores.

  • Válida: A vulnerabilidade é válida e única.

  • Inválida: A vulnerabilidade é inválida e não estará elegível para recompensas.

Durante o processo de validação, a Bypassec poderá entrar em contato via e-mail ou discord com o pesquisador caso o relatório precise de mais informações.

O pesquisador terá 48h para responder antes que a vulnerabilidade seja invalidada.

Upload de Evidências

Todas as evidências referente à vulnerabilidade que está sendo reportada devem ser enviadas através da funcionalidade de upload da própria plataforma.

É estritamente proibido armazenar/enviar evidências em aplicações que as disponibilizem publicamente sem nenhuma proteção ou credencial.

AnteriorPesquisadoresPróximoRecebendo pagamentos

Atualizado