Bug Bounty

Comme tous les services accessibles en ligne, ce site présente un certain nombre de bugs et de vulnérabilités qui ne font pas partie des fonctionnalités attendues.

Par exception aux règles qui vous ont été données, vous êtes autorisés à rechercher des vulnérabilités sur tous les services (et leurs infrastructures afférentes) qui vous sont mis à disposition sur nemunai.re, selon les conditions suivantes :

vous ne devez pas entraver volontairement la progression de vos camarades ou le fonctionnement d'une partie de l'infrastructure ;
vous devez maîtriser les outils que vous utilisez : certains outils mal maîtrisés peuvent bombarder de requêtes un service au point de le faire tomber. Les services mis à votre disposition ne constituent pas une plateforme d'entraînement à l'utilisation de ces outils, vous avez des machines virtuelles pour cela ;
vous devez rapporter rapidement à bounty@nemunai.re tous les bugs ou vulnérabilités que vous découvrez.

En plus du maintien des bénéfices que vous avez éventuellement pu obtenir (par exemple changer une note), vous obtiendrez également un bonus sur votre note finale. À titre indicatif, voici ce à quoi vous pouvez vous attendre :

Exemples de vulnérabilités	Points
Faute d'orthographe/grammaire, non conformité, bug, ...	crédité dans le commit
XSS, CSRF, injection SQL/LDAP, ...	1 point
Violation de permission, fuite d'informations, ...	2 points
Exécution arbitraire de code	3 points
Exécution arbitraire de code sur l'hôte	5 points

Lorsque vous découvrez une vulnérabilité en groupe, précisez les noms et le rôle que chacun a eu dans la découverte.

À toute fin utile, l'usage et la non-divulgation d'une vulnérabilité sont sanctionnables.

Hall of Fame

L'accès aux questionnaires n'était pas filtré selon les groupes ou les promos. +2 pts

Divulguée et corrigée le 19 novembre 2022. Commit

Il était toujours possible de répondre aux questionnaires après l'heure de clôture. +2 pts

Divulguée et corrigée le 19 novembre 2021. Commit