PayPal | Bug Bounty Program
El programa Bug Bounty de PayPal se ha integrado con HackerOne. Como resultado, todas las presentaciones de PayPal Bug Bounty deben realizarse para su revisión a través del portal HackerOne.
Los siguientes servicios y dominios están incluidos dentro del alcance del Programa Bug Bounty:
- PayPal
*.paypal.com - Braintree usando
sandbox.braintreegateway.com - Paydiant
*.paydiant.com - Venmo
*.venmo.com - Xoom
*.xoom.com
El programa Bug Bounty también es válido en ciertos sitios asociados, como:
- www.paypal-__.com domains
Aplicaciones web
Las vulnerabilidades que están dentro del alcance del programa Bug Bounty incluyen, pero no se limitan a:
- Divulgación de información sensible o de identificación personal
- Cross-Site Scripting (XSS)
- Falsificación de solicitudes entre sitios (CSRF) para funciones sensibles en un contexto privilegiado
- Ejecución de código del lado del servidor o remoto (RCE)
- Defectos de autenticación o autorización, incluidas referencias inseguras a objetos directos y omisión de autenticación
- Vulnerabilidades de inyección, incluida la inyección de SQL y XML
- Directory traversal
- Mala configuración de seguridad con una vulnerabilidad verificable
Aplicaciones móviles
Los envíos relacionados con las siguientes aplicaciones móviles están dentro del alcance del Programa Bug Bounty:
| Mobile Application Name | Android Package | iOS Package |
|---|---|---|
| Claro Pay | com.paypal.android.claro | com.paypal.claro |
| PayPal | com.paypal.android.p2pmobile | com.yourcompany.PPClient |
| PayPal Business: Send Invoices | com.paypal.merchant.client | com.paypal.merchant |
| PayPal Carica | com.paypal.android.carica | com.paypal.carica |
| PayPal Here - POS, Credit Card Reader | com.paypal.here | com.paypal.here, com.paypal.herehd |
| Telcel Pay | com.paypal.android.telcel | com.paypal.telcel |
| Venmo: Send & Receive Money | com.venmo | net.kortina.labs.Venmo |
| Xoom Money Transfer | com.xoom.android.app | com.xoom.app |
Todos los pagos de recompensas deben hacerse a una cuenta PayPal verificada y actualizada y se realizarán en dólares estadounidenses (USD).
PayPal determinará los pagos de recompensas en función del riesgo y el impacto de la vulnerabilidad.La cantidad mínima de recompensa por un envío de error validado es de $50 USD y la recompensa máxima por un envío de error validado es de $30,000 USD.
Fuente: https://www.paypal.com/us/webapps/mpp/security-tools/reporting-security-issues
Entradas
No hay comentarios