Dropbox | Bug Bounty Program
El programa Bug Bounty de la plataforma Dropbox se ha integrado con HackerOne. Como resultado, todas las presentaciones de Dropbox Bug Bounty deben realizarse para su revisión a través del portal HackerOne.
La recompensa mínima es de $216 y no hay límite máximo de recompensa para vulnerabilidades críticas que afectan al core de la aplicación principal de Dropbox y a la aplicación web y al servidor de Dropbox Paper.
Las aplicaciones de Dropbox para iOS y Android; la aplicación web de Dropbox; el cliente de Dropbox para desktop, así como el Dropbox Core SDK son elegibles para el programa de recompensas. Los errores de Dropbox Paper también son elegibles.
Recompensas por vulnerabilidades de seguridad
La siguiente tabla muestra las recompensas habituales elegidas para los errores más comunes:
Vulnerabilidad |
Recompensa |
|---|---|
Ejecución remota de código en servidores |
$32,768 |
Authentication Bypass |
$17,576 |
Ejecución remota de código en Dropbox app (Android, iOS, Client) |
$15,625 |
Cross Site Request Forgery sobre acciones críticas |
$13,824 |
Cross Site Scripting en www.dropbox.com funcionando en todos los nevegadores |
$13,824 |
Están fuera del alcance del programa:
| Nuestras políticas sobre presencia/ausencia de registros SPF/DMARC. |
| Políticas de contraseña, correo electrónico y cuenta, como la verificación de ID de correo electrónico, la expiración del link de restablecimiento, la complejidad de la contraseña. |
| Confidential Information Leakage. |
| Use of known-vulnerable library (without proof of exploitability) |
| Ausencia de tokens CSRF (a menos que haya evidencia de acción sensible de un usuario no protegida por un token). |
| Login/logout CSRF. |
| Ataques que requieren acceso físico al dispositivo de un usuario. |
| Ausencia de encabezados de seguridad que no producen de forma directa una vulnerabilidad. |
| Ausencia de buenas prácticas (requerimos evidencia de una vulnerabilidad de seguridad). |
| Hospedar malware o contenido arbitrario en Dropbox y provocar descargas. |
XSS en dropboxusercontent.com está fuera del alcance. |
| Self-XSS (requerimos evidencia sobre cómo se puede usar la técnica XSS para atacar a otro usuario de Dropbox). |
| XSS en cualquier sitio que no sea el siguiente: |
| Aceptaremos informes de XSS en otros subdominios de dropbox.com, pero no recompensaremos por ellos. |
| Host header injectios a menos que pueda mostrar cómo pueden conducir a robar datos de usuario. |
| Uso de una librería conocida vulnerable (sin evidencia de explotabilidad). |
| Informes de herramientas o escaneos automatizados. |
| Reportes de spam (es decir, cualquier informe que implique la capacidad de enviar correos electrónicos sin límites de velocidad). |
| Vulnerabilidades que afectan a los usuarios de navegadores o plataformas obsoletos. |
| Ingeniería social de empleados o contratistas de Dropbox. |
| Cualquier intento físico contra la propiedad o los centros de datos de Dropbox. |
| Uso del atributo autocomplete en formularios web. |
| Usencia de flags de cookies en cookies no sensibles. |
| Informes de cifrados SSL/TLS inseguros (a menos que tenga una prueba de concepto y no solo un informe de un escáner). |
Solo aceptaremos informes críticos en blogs.dropbox.com (por ejemplo, RCE). Los problemas menores que no tienen impacto en los usuarios de Dropbox están fuera del ámbito. Por favor, repórtelos a Automattic Program. |
| Las vulnerabilidades de suplantación de contenido (donde solo se puede insertar texto o una imagen en una página) están fuera del ámbito. Aceptaremos y resolveremos una vulnerabilidad de suplantación de identidad en la que el atacante puede inyectar imagen o texto enriquecido (HTML), pero no es elegible para una recompensa. La inyección de texto puro está fuera del alcance. |
| Escaneo de IP/Puerto a través de los servicios de Dropbox a menos que puedas descubrir iPs privadas o servidores de Dropbox. |
| La creación de varias cuentas con el mismo correo electrónico también está fuera del ámbito. |
| Wikis de Github editables. |
Notas sobre los envíos de SSRF
Antes de enviar un informe SSRF, asegúrese de que la respuesta que está recibiendo no es ningún:
resetHTTP/1.1 403 Forbidden
Cualquiera de estas respuestas generalmente indica que su petición fue bloqueada por nuestros proxies Squid y no es un SSRF válido.
Notas sobre como probar "Sign-in con Apple"
Para probar nuestro inicio de sesión con la implementación de Apple, necesitarás un dispositivo iOS e inscribirte en nuestra versión beta de la aplicación móvil. Las instrucciones sobre cómo inscribirse en la versión beta se pueden encontrar aquí.
Dentro del alcance del programa:
| Dominio | www.dropbox.com | Crítico | Elegible |
| Dominio | paper.dropbox.com | Crítico | Elegible |
| Dominio | showcase.dropbox.com | Crítico | Elegible |
| Dominio | dropboxforum.com | Alto | Elegible |
| Android: Play Store | com.dropbox.android | Crítico | Elegible |
| Android: Play Store | com.dropbox.android | Crítico | Elegible |
| Android: Play Store | com.dropbox.paper | Crítico | Elegible |
| Ejecutable | Dropbox Desktop | Crítico | Elegible |
| iOS: App Store | com.getdropbox.Dropbox | Crítico | Elegible |
| iOS: App Store | com.dropbox.paper | Crítico | Elegible |
| iOS: App Store | com.getdropbox.DropboxEMM | Crítico | Elegible |
Fuente: https://hackerone.com/dropbox
Entradas
No hay comentarios