Bảo mật trang web

Bitcasino.io coi quyền riêng tư và bảo mật là chức năng cốt lõi của tổ chức của chúng tôi. Kiếm tiền và giữ sự tin tưởng của khách hàng là ưu tiên hàng đầu của chúng tôi, vì vậy chúng tôi luôn tuân thủ các tiêu chuẩn bảo mật và quyền riêng tư cao nhất. Nếu bạn đã phát hiện ra một vấn đề bảo mật mà bạn tin rằng chúng tôi nên biết, chúng tôi rất muốn làm việc với bạn.

Chúng tôi tuân theo một loạt các điều khoản tiết lộ được xác định rõ ràng và theo tiêu chuẩn ngành cũng như các phân loại xếp hạng mức độ dễ bị tổn thương. Để tránh nhầm lẫn, Chúng tôi sẽ xếp hạng tất cả các bài gửi bằng cách sử dụng Phân loại xếp hạng lỗ hổng trong bảo mật của Bugcrowd 

Mỗi bài gửi sẽ được đánh giá bởi nhóm bảo mật của chúng tôi trên cơ sở tìm kiếm trước. Bạn sẽ đủ điều kiện nhận phần thưởng nếu bạn là người đầu tiên cảnh báo cho chúng tôi về một vấn đề chưa biết trước đây và vấn đề này khiến chúng tôi thực hiện thay đổi mã hoặc cấu hình đối với nền tảng của chúng tôi. Chúng tôi không có giới hạn phần thưởng tối thiểu hoặc tối đa. Phần thưởng sẽ được trao theo quyết định của chúng tôi, nhưng chúng tôi sẽ trả nhiều hơn đáng kể cho các vấn đề đặc biệt nghiêm trọng.

Hãy ghi nhớ rằng đây là một môi trường sản xuất. Khi thực hiện thử nghiệm của bạn, chúng tôi yêu cầu bạn:

• 
  Không sử dụng các lỗ hổng để truy cập, sửa đổi, gây hại hoặc thay đổi bất kỳ dữ liệu nào không thuộc về bạn.
• Không khai thác lỗ hổng ngoại trừ mục đích chứng minh cho chúng tôi.
• Không tiến hành kiểm tra cấp độ mạng hoặc từ chối dịch vụ hoặc các cuộc tấn công tràn ngập lưu lượng truy cập vào hệ thống của chúng tôi.
• Không tiến hành bất kỳ thử nghiệm nào sẽ ảnh hưởng đến hiệu suất của môi trường, chẳng hạn như quét tích cực và/hoặc tập lệnh tích cực.
• Không nhắm mục tiêu nhân viên và khách hàng của chúng tôi. Tất cả nhân viên và khách hàng đều nằm ngoài phạm vi và không được nhắm mục tiêu trong bất kỳ trường hợp nào.

Cũng xin bạn lưu ý rằng những phát hiện sau đây được loại trừ cụ thể khỏi tiền thưởng:

• 
  Các phát hiện được xác định thông qua kiểm tra thực tế về khả năng ra vào văn phòng (ví dụ: cửa mở, điều chỉnh phía sau).
• Các cuộc tấn công được thực hiện bằng kỹ thuật xã hội (ví dụ: lừa đảo, lừa đảo trực tuyến).
• Lỗi chức năng, giao diện người dùng và người dùng và lỗi chính tả.
• Các lỗ hổng từ chối dịch vụ (DoS / DDoS) cấp độ mạng.
• Thông báo lỗi mô tả (ví dụ: Dấu vết ngăn xếp, lỗi ứng dụng hoặc máy chủ).
• Các mã/trang HTTP 404 hoặc các mã/trang HTTP non-200 khác.
• Tiết lộ dấu vân tay/biểu ngữ trên các dịch vụ thông thường/công cộng.
• Tiết lộ các tệp hoặc thư mục công khai đã biết, (ví dụ: robots.txt).
• CSRF trên các biểu mẫu có sẵn cho người dùng ẩn danh (ví dụ: biểu mẫu liên hệ) và URL Đăng nhập/Đăng xuất.
• Sự hiện diện của ứng dụng hoặc chức năng "tự động hoàn thành" hoặc "lưu mật khẩu" của trình duyệt web.
• Thiếu cờ cookie HTTPOnly.
• Đăng nhập Brute Force (trừ khi CAPTCHA có thể bị bỏ qua)
• TÙY CHỌN Phương thức HTTP được bật
• Thiếu tiêu đề X-Content-Type-Options
• Sử dụng Chứng chỉ SSL SHA-1 và hỗ trợ TLS 1.0

Gửi báo cáo của bạn

Trong báo cáo của bạn, vui lòng bao gồm:

Các thông tin chi tiết về lỗ hổng

Cung cấp bằng chứng có thể xác minh được về lỗ hổng bảo mật như ảnh chụp màn hình, video hoặc tập lệnh. Cần có bằng chứng xác minh để nhận được sự công nhận hoặc giải thưởng. Bằng chứng phải bao gồm bất kỳ và tất cả các URL được sử dụng để khám phá lỗ hổng bảo mật.

Vui lòng gửi báo cáo của bạn đến [email protected]. Chúng tôi sẽ liên hệ lại với bạn trong vòng 3-5 ngày làm việc.