भेद्यता प्रकटीकरण कार्यक्रम

क्या आपको कोई भेद्यता मिली?
सबसे पहले हमें बताएं।

हम हर विश्वसनीय रिपोर्ट की समीक्षा करते हैं। पहले Hall of Fame में मान्यता; स्वैच्छिक मान्यता-राशि पर मामले-दर-मामला विचार किया जा सकता है।

PGP कुंजी दिखाएं

हमारा दृष्टिकोण

सुरक्षा टीमवर्क है।

सुरक्षा शोधकर्ता विरोधी नहीं होते। वे अक्सर वास्तविक भेद्यताओं को सबसे पहले पहचानते हैं। हम आपका सम्मान करते हैं: ईमानदार उत्तर, स्पष्ट शर्तें और निष्पक्ष मान्यता। यह भेद्यता प्रकटीकरण कार्यक्रम है जिसमें Hall of Fame में संभावित मान्यता और मामले-दर-मामला समीक्षा के बाद वैकल्पिक छोटी मान्यता-राशियां शामिल हो सकती हैं। यह निश्चित या गारंटीकृत भुगतान वाला पारंपरिक बग बाउंटी कार्यक्रम नहीं है।

Apple हमारे संस्थापक Chris Bohn को OS X में रिपोर्ट की गई कर्नेल भेद्यता (CVE-2013-1029) के लिए आधिकारिक सुरक्षा अपडेट में नाम से श्रेय देता है। हम प्रत्यक्ष अनुभव से जानते हैं कि एक अच्छी रिपोर्ट में कितना काम लगता है और निष्पक्ष व्यवहार कितना महत्वपूर्ण है। स्रोत: support.apple.com/en-us/103517

यह कैसे काम करता है

रिपोर्ट से सुधार तक तीन चरणों में।

कोई नौकरशाही नहीं। कोई फॉर्म नहीं। कोई छिपी प्रक्रिया नहीं।

चरण 01

रिपोर्ट करें

ईमेल भेजें: । प्रभावित सिस्टम या संपत्ति, पुनरुत्पादन के चरण और यथार्थवादी प्रभाव का वर्णन करें। आपकी रिपोर्ट जितनी सटीक होगी, हम उतनी जल्दी समीक्षा कर पाएंगे।

चरण 02

प्राथमिक समीक्षा

हम विश्वसनीय रिपोर्टों की समीक्षा करते हैं और आमतौर पर कुछ कार्यदिवसों में जवाब देते हैं। देरी होने पर हम आपको अपडेट रखेंगे।

चरण 03

सुधार और मान्यता

सुधारों को गंभीरता के आधार पर प्राथमिकता दी जाती है। योग्य और सत्यापित निष्कर्षों को हमारी Hall of Fame में श्रेय दिया जा सकता है। उपयुक्त उत्पाद-भेद्यताओं के लिए हम CVE समन्वय की समीक्षा करते हैं।

RFC 9116

security.txt

क्या आप स्कैनर इस्तेमाल कर रहे हैं या /.well-known/security.txt देख रहे हैं? आप सही जगह आए हैं।


# https://www.protectstar.com/.well-known/security.txt

Contact: mailto:security@protectstar.com
Encryption: https://www.protectstar.com/security/pgp.asc
Policy: https://www.protectstar.com/security
Acknowledgments: https://www.protectstar.com/security/acknowledgments
Preferred-Languages: en, de
Canonical: https://www.protectstar.com/.well-known/security.txt
Canonical: https://protectstar.com/.well-known/security.txt
Expires: 2027-05-19T23:59:59Z

लाइव फ़ाइल खोलें · फ़ॉर्मैट के अनुसार RFC 9116

दायरा

दायरे में क्या है।

हम जानबूझकर सीमित दायरे से शुरू कर रहे हैं ताकि हमारी टीम हर रिपोर्ट की गहन समीक्षा कर सके। ऐप्स और APIs से जुड़ी रिपोर्टें स्वागतयोग्य हैं, लेकिन उनकी समीक्षा मामले-दर-मामला की जाएगी।

दायरे में

www.protectstar.com & protectstar.com Protectstar द्वारा सीधे संचालित वेबसाइट के सार्वजनिक क्षेत्र
सार्वजनिक रूप से प्रलेखित अपडेट और डाउनलोड अखंडता तंत्र Protectstar के इंफ्रास्ट्रक्चर पर होस्ट किए गए हस्ताक्षर और हैश
प्रकाशित फ़ाइल-अखंडता मेटाडेटा protectstar.com पर प्रकाशित
अतिरिक्त सबडोमेन केवल जहां स्पष्ट रूप से सूचीबद्ध हो या हमारे द्वारा लिखित रूप में पुष्टि की गई हो

दायरे से बाहर

तृतीय-पक्ष सिस्टम और सेवाएं शॉप और भुगतान प्रदाता, ऐप स्टोर, CDN/होस्टिंग, बाहरी इंजन, SDKs और भागीदार सेवाएं
APIs, लाइसेंस/सक्रियण सर्वर और आंतरिक सिस्टम जिनकी स्पष्ट रूप से पुष्टि नहीं की गई है
सोशल इंजीनियरिंग और फ़िशिंग कर्मचारियों, सपोर्ट या भागीदारों को निशाना बनाना
DoS / DDoS / वॉल्यूम परीक्षण
भौतिक हमले
प्रभाव के बिना Self-XSS और अनुपस्थित best-practice headers
बीटा / TestFlight / पूर्व-रिलीज़ संस्करण

ऐप्स, बैकएंड APIs, डेस्कटॉप सॉफ़्टवेयर: रिपोर्टें स्वागतयोग्य हैं, लेकिन वे स्वतः दायरे में नहीं आतीं और न ही स्वतः मान्यता के लिए पात्र होती हैं। हम हर रिपोर्ट की मामले-दर-मामला समीक्षा करते हैं।

Safe Harbor

सद्भावना से शोध करें। हम आपके साथ निष्पक्ष व्यवहार करेंगे।

यदि आप इस नीति के भीतर, सद्भावना से और केवल उन संपत्तियों पर सुरक्षा शोध करते हैं जिन्हें स्पष्ट रूप से दायरे में सूचीबद्ध किया गया है या हमारे द्वारा लिखित रूप में पुष्टि की गई है, तो हम उस शोध को अधिकृत मानते हैं। Protectstar ऐसे शोध के लिए, जहां दावे हमारे नियंत्रण में हैं, कानूनी कार्रवाई शुरू या समर्थन नहीं करेगा।

आवश्यकताएं

भेद्यता प्रदर्शित करने के लिए आवश्यक सीमा से आगे कोई शोषण नहीं
सुधार से पहले भेद्यता को तृतीय पक्षों के सामने प्रकट नहीं करना
ऐसे डेटा का निष्कासन, संशोधन, हटाना, संग्रहण या साझा करना नहीं जो आपका नहीं है। जहां संभव हो परीक्षण खातों का उपयोग करें
पूर्व समन्वय और लिखित स्वीकृति के बिना प्रकाशन या प्रकटीकरण नहीं; 90 दिन हमारी दिशानिर्देश अवधि है, स्वतः अनुमति नहीं
जानबूझकर सेवा बाधित करना या डेटा नष्ट करना नहीं
आप, आपके शोध और प्रभावित प्रणालियों पर लागू कानूनों का पालन

यदि आप गलती से ऐसा डेटा देखते हैं जो आपका नहीं है, तो तुरंत रुक जाएं। उसे आगे एक्सेस, कॉपी, संशोधित, हटाएं, संग्रहीत या साझा न करें, और सत्यापन के लिए आवश्यक न्यूनतम जानकारी ही रिपोर्ट करें। यह आश्वासन केवल Protectstar के नियंत्रण में आने वाले दावों पर लागू होता है और कानून द्वारा निषिद्ध किसी आचरण को अधिकृत नहीं करता। यह तृतीय-पक्ष प्रणालियों, सेवाओं, नेटवर्क या डेटा के विरुद्ध गतिविधियों पर लागू नहीं होता और तृतीय पक्षों की स्वतंत्र कार्रवाई को नहीं रोकता। संदेह होने पर: पहले पूछें, बाद में नहीं।

मान्यता

पहले Hall of Fame। छोटी मान्यता-राशियां मामले-दर-मामला आधार पर।

Protectstar निश्चित या गारंटीकृत भुगतान वाला पारंपरिक बग बाउंटी कार्यक्रम संचालित नहीं करता। हमारा ध्यान निष्पक्ष समीक्षा, समन्वित सुधार और हमारी आवश्यकताएं पूरी करने वाली रिपोर्टों के लिए संभावित Hall of Fame मान्यता पर है। इसके अलावा, Protectstar अपने पूर्ण विवेकाधिकार से विशेष रूप से उपयोगी, सत्यापित, पहले से अज्ञात और दायरे में आने वाली रिपोर्टों के लिए छोटी स्वैच्छिक मौद्रिक मान्यता-राशि प्रदान कर सकता है। भुगतान का कोई अधिकार नहीं है; भुगतान देने का निर्णय और उसकी राशि केवल पूर्ण तकनीकी रिपोर्ट के सत्यापन के बाद ही तय होती है।

संभावित Hall of Fame मान्यता की आवश्यकताएं

वैध और पुनरुत्पादित रूप से प्रलेखित
पहले से अज्ञात और आंतरिक समीक्षा में नहीं
ऊपर सूचीबद्ध क्षेत्रों के अनुसार दायरे में
सबसे पहले सबमिट किया गया (पहला रिपोर्टर मान्य होता है)
इस नीति का उल्लंघन किए बिना रिपोर्ट किया गया
Protectstar या हमारे उपयोगकर्ताओं की सुरक्षा के लिए वास्तव में प्रासंगिक
रिपोर्ट से पहले, दौरान या बाद में धमकियों या भुगतान मांगों के बिना

गंभीरता वर्गीकरण

गंभीरता सुधार की प्राथमिकता और संभावित मान्यता को प्रभावित करती है। Hall of Fame हमारी प्राथमिक मान्यता का रूप बनी रहती है।

गंभीरता	सामान्य उदाहरण	संभावित मान्यता
गंभीर	रिमोट कोड निष्पादन, प्रमाणीकरण बाइपास, बड़े पैमाने पर डेटा रिसाव, अपडेट-अखंडता से समझौता	Hall of Fame; मामले-दर-मामला समीक्षा के बाद छोटी स्वैच्छिक मान्यता-राशि पर विचार किया जा सकता है
उच्च	विशेषाधिकार वृद्धि, प्रभाव वाली क्रिप्टोग्राफिक कमजोरियां, खाता अधिग्रहण	Hall of Fame; मामले-दर-मामला समीक्षा के बाद छोटी स्वैच्छिक मान्यता-राशि पर विचार किया जा सकता है
मध्यम	Stored XSS, प्रदर्शनीय प्रभाव वाला IDOR, सत्र संबंधी समस्याएं	Hall of Fame; स्पष्ट और पुनरुत्पादित प्रभाव के लिए वैकल्पिक छोटी मान्यता-राशि पर विचार किया जा सकता है
निम्न	सीमित प्रभाव वाला Reflected XSS, परिणामों के बिना सूचना प्रकटीकरण	आमतौर पर Hall of Fame या धन्यवाद; मौद्रिक मान्यता केवल असाधारण मामलों में

गंभीरता का आकलन CVSS 4.0 या CVSS 3.1 को दिशानिर्देश के रूप में उपयोग करके किया जाता है। अंतिम मूल्यांकन Protectstar करता है; अनुरोध पर हम भिन्न मूल्यांकन को लिखित रूप में समझा सकते हैं। पूर्ण तकनीकी रिपोर्ट प्राप्त और सत्यापित करने से पहले हम राशि पर बातचीत नहीं करते।

प्रतिक्रिया समय

हमारी लक्षित समय-सीमाएं।

हम एक छोटी टीम हैं, 24/7 SOC नहीं। ये संख्याएं हमारी लक्ष्य-सीमाएं हैं। देरी होने पर हम आपको बताएंगे।

3 कार्यदिवस प्राप्ति की पुष्टि (लक्ष्य)

10 कार्यदिवस प्रारंभिक तकनीकी समीक्षा (लक्ष्य)

90 दिन समन्वित प्रकटीकरण (लक्ष्य)

एन्क्रिप्शन

PGP कुंजी।

संवेदनशील भेद्यता-विवरणों के लिए आप अपनी रिपोर्ट एन्क्रिप्ट कर सकते हैं।

फ़िंगरप्रिंट

B8DB 47D7 DBE5 DD63 7C65 80E0 3513 CE31 BD10 B7AD

कुंजी ID

0x3513CE31BD10B7AD

पहचान

PROTECTSTAR Support Hero
< >

यह कुंजी वर्तमान में से संबद्ध है और Protectstar द्वारा के साथ एन्क्रिप्टेड संचार के लिए अधिकृत है।

कुंजी डाउनलोड करें

Hall of Fame

किसने हमारी मदद की।

वे सुरक्षा शोधकर्ता जिन्होंने हमारे कार्यक्रम का जिम्मेदारी से उपयोग किया और हमारे उत्पादों को अधिक सुरक्षित बनाने में मदद की।

अभी कोई प्रविष्टि नहीं।

हमारा कार्यक्रम अभी शुरू हुआ है। हमारी आवश्यकताएं पूरी करने वाली रिपोर्टों को यहां श्रेय दिया जा सकता है।

अनुरोध पर कानूनी नाम या छद्म नाम के तहत सूचीबद्ध किया जा सकता है। उपयुक्त उत्पाद-भेद्यताओं के लिए हम उपयुक्त CNA के माध्यम से CVE समन्वय की समीक्षा करते हैं।

अक्सर पूछे जाने वाले प्रश्न

पूछने से पहले।

"सद्भावना में" का क्या अर्थ है?

सद्भावना से शोध का अर्थ है कि आप इस नीति का पालन करें, आवश्यक सीमा से आगे शोषण किए बिना भेद्यता प्रदर्शित करें, पहले हमें रिपोर्ट करें और हमें सुधार के लिए समय दें। यदि आप यह सीमा पार करते हैं, उपयोगकर्ता डेटा बाहर निकालते हैं या भुगतान मांगने के लिए तकनीकी विवरण रोकते हैं, तो Safe Harbor लागू नहीं रहता।

क्या मेरी रिपोर्ट के लिए मुझे भुगतान मिलेगा?

स्वतः नहीं। Protectstar निश्चित या गारंटीकृत भुगतान वाला पारंपरिक बग बाउंटी कार्यक्रम संचालित नहीं करता। Hall of Fame हमारी प्राथमिक मान्यता है। विशेष रूप से उपयोगी, सत्यापित, पहले से अज्ञात और दायरे में आने वाली रिपोर्टों के लिए हम अपने पूर्ण विवेकाधिकार से छोटी स्वैच्छिक मौद्रिक मान्यता-राशि प्रदान कर सकते हैं। पूर्ण तकनीकी रिपोर्ट प्राप्त और सत्यापित करने से पहले हम पुरस्कारों पर बातचीत नहीं करते।

यदि मैं गुमनाम रूप से रिपोर्ट करना चाहूं तो?

हम गुमनाम रिपोर्टें स्वीकार करते हैं और तकनीकी रूप से उनकी उसी तरह समीक्षा करते हैं। आवश्यकताएं पूरी होने पर, अनुरोध के अनुसार हम आपको Hall of Fame में छद्म नाम के तहत श्रेय देंगे।

गंभीरता कैसे निर्धारित होती है?

हम CVSS 4.0 या CVSS 3.1 को दिशानिर्देश के रूप में उपयोग करते हैं और आपकी प्रस्तुति से प्रभाव-कारक जोड़ते हैं। अंतिम मूल्यांकन Protectstar करता है। यदि हमारा मूल्यांकन आपके मूल्यांकन से अलग है, तो अनुरोध पर हम उसे समझा सकते हैं।

क्या मेरे निष्कर्ष को CVE ID मिलेगा?

उपयुक्त उत्पाद-भेद्यताओं के लिए हम उपयुक्त CNA या किसी अन्य उपयुक्त चैनल के माध्यम से CVE समन्वय की समीक्षा करते हैं। CVE ID की गारंटी नहीं है और यह CNA के CVE नियमों पर निर्भर करता है।

क्या मैं स्वचालित स्कैनर इस्तेमाल कर सकता हूं?

हां, लेकिन केवल गैर-आक्रामक, दर-सीमित तरीके से और केवल उन संपत्तियों पर जिन्हें स्पष्ट रूप से दायरे में सूचीबद्ध किया गया है। आक्रामक टूल, बहुत अधिक अनुरोध दरें या ऐसे परीक्षण जो अन्य उपयोगकर्ताओं के लिए उपलब्धता को प्रभावित कर सकते हैं, अनुमति नहीं हैं। सत्यापित प्रभाव के बिना कच्चा स्कैनर आउटपुट, जैसे अनुपस्थित headers, TLS नोट्स या version disclosure, मान्यता के लिए पात्र नहीं है। संदेह होने पर: पहले पूछें।

डुप्लिकेट रिपोर्टों का क्या होगा?

पहला रिपोर्टर मान्य होता है। यदि कोई भेद्यता आंतरिक रूप से पहले से ज्ञात है या पहले रिपोर्ट की जा चुकी है, तो वह मान्यता के लिए पात्र नहीं है। हम आपको जितनी जल्दी हो सके बताएंगे।

मेरी रिपोर्ट किसी ऐप या backend API से जुड़ी है। क्या यह दायरे में है?

Protectstar ऐप्स और APIs के बारे में रिपोर्टें स्वागतयोग्य हैं। हालांकि इस पहले चरण में उनकी समीक्षा मामले-दर-मामला की जाती है और जब तक प्रभावित संपत्ति ऊपर स्पष्ट रूप से सूचीबद्ध या हमारे द्वारा लिखित रूप में पुष्टि न हो, वे स्वतः मान्यता के लिए पात्र नहीं हैं। फिर भी, कृपया अपनी रिपोर्ट भेजें।

अपनी रिपोर्ट हमें भेजें।

हम विश्वसनीय रिपोर्टों की समीक्षा करते हैं और आमतौर पर कुछ कार्यदिवसों में जवाब देते हैं।

PGP उपलब्ध · RFC 9116 के अनुसार security.txt · सद्भावना से शोध के लिए Safe Harbor

कार्यक्रम सक्रिय

भेद्यता प्रकटीकरण कार्यक्रम संस्करण 1.0

मई 2026 से सक्रिय अंतिम अपडेट: 20 मई 2026

जब दायरे, शर्तों या प्रतिक्रिया समय में महत्वपूर्ण बदलाव होता है, तो हम इस पेज को अपडेट करते हैं। Safe Harbor आश्वासन से जुड़े कानूनी प्रश्नों के लिए शोध करने से पहले से संपर्क करें।