Mycert
Mycert
สมัคร
Bug Bounty Program

ช่วยกันทำให้ Mycert ปลอดภัย

เราให้ความสำคัญกับความปลอดภัยของข้อมูลผู้ใช้อย่างจริงจัง หากคุณพบช่องโหว่ด้านความปลอดภัย เราอยากได้ยินจากคุณก่อนใคร และยินดีให้การรับรองสำหรับการค้นพบที่สำคัญ

รายงานช่องโหว่

3 วันทำการ

ตอบกลับครั้งแรก

7 วันทำการ

ยืนยันช่องโหว่

ภายใน 30 วัน

แก้ไขและแจ้งผล

ระดับความรุนแรงและรางวัล

Critical

RCE, auth bypass ทั้งระบบ, data breach ขนาดใหญ่

ติดต่อโดยตรง

High

IDOR ข้ามผู้ใช้, certificate forge, payment bypass

Hall of Fame + ของรางวัล

Medium

Stored XSS, CSRF ที่ exploit ได้จริง, info leak

Hall of Fame

Low

Reflected XSS ที่ต้องการ interaction, minor info leak

Hall of Fame

* รางวัลพิจารณาตามคุณภาพของรายงานและผลกระทบจริง

ขอบเขต

อยู่ในขอบเขต

  • mycert.camp และ *.mycert.camp ทุก subdomain
  • Authentication / Authorization bypass
  • SQL Injection, RCE, SSRF
  • Insecure Direct Object Reference (IDOR)
  • Cross-Site Scripting (XSS) — stored หรือ reflected
  • Cross-Site Request Forgery (CSRF)
  • Sensitive data exposure (PII, keys, tokens)
  • Broken Access Control ระหว่าง organizer tenant
  • Certificate forgery หรือ verification bypass
  • Payment / subscription manipulation

นอกขอบเขต

  • Denial of Service (DoS / DDoS)
  • Social engineering / phishing
  • Self-XSS (ต้องให้เหยื่อวาง payload เอง)
  • Rate limiting ที่ไม่ส่งผลต่อข้อมูล
  • ช่องโหว่ของ third-party (Supabase, Stripe, LINE)
  • Automated scan ที่ไม่มีหลักฐาน exploit จริง
  • ช่องโหว่ที่ต้องการ physical access

สิ่งที่ควรส่งมาในรายงาน

คำอธิบายช่องโหว่

เกิดขึ้นที่ไหน ทำงานยังไง และผลกระทบคืออะไร

ขั้นตอน reproduce

ละเอียดพอที่ทีมจะทดสอบได้โดยไม่ต้องเดา

หลักฐาน

Screenshot, video, curl request/response หรือ PoC code

ผลกระทบ

ข้อมูลหรือผู้ใช้ที่ได้รับผลกระทบ และระดับความรุนแรง

แนวทางแก้ไข (ถ้ามี)

ข้อเสนอแนะที่ช่วยให้ทีมแก้ได้เร็วขึ้น

กฎการทดสอบ

ทดสอบบนบัญชีของตัวเองเท่านั้น
ห้ามแก้ไข ลบ หรือ exfiltrate ข้อมูลของผู้ใช้จริง
ห้ามทดสอบที่ส่งผลกระทบต่อ availability ของระบบ
ถ้าพบข้อมูลของผู้ใช้จริงระหว่างทดสอบ ให้หยุดและแจ้งทันที
อย่าเปิดเผยช่องโหว่สาธารณะก่อนได้รับการยืนยันจากทีม (Responsible Disclosure)

Safe Harbor

เราจะไม่ดำเนินการทางกฎหมายกับนักวิจัยที่ค้นพบและรายงานช่องโหว่โดยสุจริต ตราบใดที่ปฏิบัติตามกฎข้างต้นและไม่ก่อให้เกิดความเสียหายต่อผู้ใช้หรือระบบ เราถือว่าการรายงานอย่างมีความรับผิดชอบเป็นการกระทำที่ควรได้รับการสนับสนุน

Hall of Fame

ขอบคุณทุกคนที่ช่วยทำให้ Mycert ปลอดภัยขึ้น

คุณจะเป็นคนแรกที่ชื่อปรากฏที่นี่

ส่งรายงานมาเลย →

ติดต่อทีมความปลอดภัย

ส่งรายงานหรือมีคำถามเกี่ยวกับโปรแกรมนี้ได้ที่ security@mycert.camp

ดู นโยบายความเป็นส่วนตัว หรือ ศูนย์ช่วยเหลือ