90 lines
4.1 KiB
Svelte
90 lines
4.1 KiB
Svelte
<h2>Bug Bounty</h2>
|
|
|
|
<p class="lead">
|
|
Comme tous les services accessibles en ligne, ce site présente un certain nombre de bugs et de vulnérabilités qui ne font pas partie des fonctionnalités attendues.
|
|
</p>
|
|
|
|
<p>
|
|
Par exception aux règles qui vous ont été données, vous êtes autorisés à rechercher des vulnérabilités sur tous les services (et leurs infrastructures afférentes) qui vous sont mis à disposition sur <code>nemunai.re</code>, selon les conditions suivantes :
|
|
</p>
|
|
|
|
<ul>
|
|
<li><strong>vous ne devez pas <ins>entraver volontairement</ins> la progression de vos camarades ou le fonctionnement d'une partie de l'infrastructure ;</strong></li>
|
|
<li><strong>vous devez maîtriser les outils que vous utilisez :</strong> certains outils mal maîtrisés peuvent bombarder de requêtes un service au point de le faire tomber. Les services mis à votre disposition ne constituent pas une plateforme d'entraînement à l'utilisation de ces outils, vous avez des machines virtuelles pour cela ;</li>
|
|
<li><strong>vous devez rapporter rapidement à <a href="mailto:bounty@nemunai.re">bounty@nemunai.re</a> tous les bugs ou vulnérabilités que vous découvrez.</strong></li>
|
|
</ul>
|
|
|
|
<p>
|
|
En plus du maintien des bénéfices que vous avez éventuellement pu obtenir (par exemple changer une note), vous obtiendrez également un bonus sur votre note finale.
|
|
À titre indicatif, voici ce à quoi vous pouvez vous attendre :
|
|
</p>
|
|
|
|
<div class="card mb-2">
|
|
<table class="table table-striped table-hover mb-0">
|
|
<thead>
|
|
<tr>
|
|
<th>Exemples de vulnérabilités</th>
|
|
<th>Points</th>
|
|
</tr>
|
|
</thead>
|
|
<tbody>
|
|
<tr>
|
|
<td>Faute d'orthographe/grammaire, non conformité, bug, ...</td>
|
|
<td>crédité dans le commit</td>
|
|
</tr>
|
|
<tr>
|
|
<td>XSS, CSRF, injection SQL/LDAP, ...</td>
|
|
<td>1 point</td>
|
|
</tr>
|
|
<tr>
|
|
<td>Violation de permission, fuite d'informations, ...</td>
|
|
<td>2 points</td>
|
|
</tr>
|
|
<tr>
|
|
<td>Exécution arbitraire de code</td>
|
|
<td>3 points</td>
|
|
</tr>
|
|
<tr>
|
|
<td>Exécution arbitraire de code sur l'hôte</td>
|
|
<td>5 points</td>
|
|
</tr>
|
|
</tbody>
|
|
</table>
|
|
</div>
|
|
|
|
<p>
|
|
Lorsque vous découvrez une vulnérabilité en groupe, précisez les noms et le rôle que chacun a eu dans la découverte.
|
|
</p>
|
|
|
|
<div class="alert alert-warning d-flex">
|
|
<i class="bi bi-exclamation-triangle me-3"></i>
|
|
<span>
|
|
À toute fin utile, l'usage et la non-divulgation d'une vulnérabilité sont <a href="https://www.legifrance.gouv.fr/codes/id/LEGISCTA000006149839/" target="_blank">sanctionnables</a>.
|
|
</span>
|
|
</div>
|
|
|
|
<h3 class="mt-5 mb-3">Hall of Fame</h3>
|
|
|
|
<div class="card mb-3">
|
|
<div class="card-header">
|
|
Il était toujours possible de répondre aux questionnaires après l'heure de clôture.
|
|
<span class="badge bg-success shadow-lg">+2 pts</span>
|
|
</div>
|
|
<div class="card-body">
|
|
<div class="row row-cols-6">
|
|
<img class="img-thumbnail" src="//photos.cri.epita.fr/mahe.charpy" alt="mahe.charpy">
|
|
<img class="img-thumbnail" src="//photos.cri.epita.fr/albin.parou" alt="albin.parou">
|
|
<img class="img-thumbnail" src="//photos.cri.epita.fr/sebastien.januszczak" alt="sebastien.januszczak">
|
|
<img class="img-thumbnail" src="//photos.cri.epita.fr/clement.lanata" alt="clement.lanata">
|
|
<img class="img-thumbnail" src="//photos.cri.epita.fr/alexandre.delorme" alt="alexandre.delorme">
|
|
<img class="img-thumbnail" src="//photos.cri.epita.fr/justin.puchelle" alt="justin.puchelle">
|
|
</div>
|
|
<p class="card-text mt-3">
|
|
Divulguée et corrigée le 19 novembre 2021.
|
|
<a href="https://git.nemunai.re/srs/atsebay.t/commit/5c53d2eaea9e7233bc8a08de2f40c040c0700c3e" target="_blank">Commit</a>
|
|
</p>
|
|
</div>
|
|
</div>
|
|
|
|
<div class="mb-5"></div>
|