ViettelPay – Ngân hàng số của người Việt*, được xây dựng và phát triển bởi Tổng Công ty Dịch vụ số Viettel, trực thuộc Tập đoàn Công nghiệp - Viễn thông Quân đội Viettel.
Quy định chung
Các lỗ hổng không hợp lệ
Quy định chung
- Nếu bạn tìm được lỗ hổng nghiêm trọng như: SQL injection, RCE, private data disclosure,... chỉ thao tác đủ để chứng minh lỗ hổng, không được lợi dụng lỗ hổng tấn công sâu hoặc tải về, thay đổi, xóa dữ liệu của hệ thống.
- Không được tấn công từ chối dịch vụ hoặc các loại tấn công khác có thể gây ảnh hưởng tới hoạt động của hệ thống.
- Không sử dụng các công cụ scan tự động.
- Không được phép công khai báo cáo khi chưa được sự cho phép của chúng tôi.
Mức độ | Tiền thưởng | Điểm thưởng |
---|---|---|
Bạo kích | 20 triệu đồng - 30 triệu đồng | 40 điểm |
Cao | 10 triệu đồng - 20 triệu đồng | 20 điểm |
Trung bình | 3 triệu đồng - 5 triệu đồng | 10 điểm |
Thấp | 2 triệu đồng | 5 điểm |
Thông tin | - | 0 điểm |
- Tài liệu tham khảo đối tượng trực tiếp không an toàn (IDOR)
- Yêu cầu phải tấn công vật lý
- Kết quả của các công cụ scan lỗ hổng tự động.
- Email giả mạo.
- Nội dung giả mạo.
- Không giới hạn tỷ lệ trên mẫu.
- DDoS.
- XSS trên trình duyệt phiên bản thấp.
- CSRF mà không có tác động cụ thể nào.
- Tên người dùng / liệt kê email.
- Open redirect nếu không dẫn tới impact nào.
- Thiếu cấu hình security cho HTTP header:
- Nghiêm-Vận tải-An ninh.
- Tùy chọn khung X.
- X-XSS-Bảo vệ.
- Tùy chọn loại nội dung X.
- Chính sách-Bảo mật-Chính sách, X-Nội dung-Bảo mật-Chính sách, X-WebKit-CSP.
- Nội dung-Bảo mật-Chính sách-Chỉ báo cáo.
- Kiểm soát bộ nhớ cache và thực dụng.
- Thiếu/sai sót cấu hình SPF records.
- Các vấn đề SSL / TLS.
- Nhấp chuột.