Bug Bounty
Om du ønsker å gjøre penetrasjonstesting eller jakte på sikkerhetshull må du følge disse rettlingslinjene, samt bruke sunn fornuft.
- DNS oppføringer (Typisk "Soft Fail" SRF records i Gmail, og TXT records er out of scope)
- Eksterne APIer, tjenester og infrastruktur (Google analytics, AWS, Laravel Vapor, Trumf.no, Nordigen.com osv, bruk sunn fornuft)
- Denial-of-Service lignende angrep er ikke innafor.
- HttpOnly cookies og lignende er ikke in-scope.
- Open Redirects er out-of-scope
- Manglende domain filtering i Google Maps er out-of-scope.
- Manglende rate limit er out-of-scope.
- Butikkene sine nettsider er off-limits (Meny, Bunnpris, Joker, Spar, Oda.com, Engrosnett, Europris).
Det er spesielt interresant med SQL injection, Authentication Bypass, RBAC/ACL Bypass (aka du får tilgang til andre brukere sine data f.eks kvitteringer, transaksjoner, innlogging eller API Tokens), Weak OAuth og lignende high-critical sikkerhetshull.
Send rapport til epost+security@kassal.app .
Annet
Om du finner bugs/sikkerhetshull, skal disse sendes til Kassalapp, data du eventuelt får tilgang til skal ikke deles med andre, eller "leakes" på nettet, du skal slette alle sensitive data du har innhentet etter at du er "ferdig" med testingen, om du får tilgang til brukerdata, må dette fremkomme i rapporten, slik at vi kan varsle personene det gjelder.
Bug bounty rewards:
| Alvorlighetsgrad | Reward |
|---|---|
| Medium | 100 kr |
| High | 250 kr |
| Critical | 500-1000 kr |
Alvorlighetsgrad blir bestemt ene og alene av Kassalapp, og eventuell utbetaling gjøres via Vipps eller PayPal (Altså, ingen direkte bankoverføring), om du utfører arbeidet via et selskap, må vi få faktura for arbeidet.