Programme Bug Bounty
Aidez-nous à sécuriser Cexro OCR et recevez des récompenses pour la découverte de vulnérabilités
Aperçu du programme
Sécurité
Protégeons ensemble les données de nos clients
Récompenses
Jusqu'à 10,000 DH pour les vulnérabilités critiques
Communication
Réponse garantie sous 48h
Barème des récompenses
Exemples :
- • Exécution de code à distance
- • Accès non autorisé aux données
- • Injection SQL critique
Exemples :
- • XSS stocké
- • Contournement d'authentification
- • Accès aux données sensibles
Exemples :
- • XSS réfléchi
- • CSRF
- • Divulgation d'informations mineures
Exemples :
- • Problèmes de configuration
- • Fuites d'informations non sensibles
- • Problèmes UI/UX de sécurité
Périmètre du programme
✅ Dans le périmètre
- • cexro.com et tous ses sous-domaines
- • API Cexro OCR (api.cexro.com)
- • Applications mobiles officielles
- • Infrastructures de traitement OCR
❌ Hors périmètre
- • Attaques par déni de service (DoS/DDoS)
- • Tests sur des comptes non autorisés
- • Ingénierie sociale
- • Attaques physiques
- • Spam ou phishing
Comment signaler
1. Envoyez un e-mail
Contactez-nous à security@cexro.ma avec les détails de la vulnérabilité
2. Incluez ces informations
- • Description détaillée de la vulnérabilité
- • Étapes pour reproduire le problème
- • Impact potentiel
- • Captures d'écran ou preuves
3. Attendez notre réponse
Notre équipe sécurité vous contactera sous 48h maximum avec un accusé de réception et un plan d'action
Directives détaillées du programme
Processus de validation et évaluation
Chaque rapport de vulnérabilité suit un processus rigoureux d'évaluation par notre équipe de sécurité composée d'experts certifiés (CISSP, CEH). L'évaluation prend généralement 5-10 jours ouvrables selon la complexité de la vulnérabilité signalée.
Critères d'évaluation :
- • Impact potentiel sur la sécurité des données clients
- • Facilité d'exploitation de la vulnérabilité
- • Nombre d'utilisateurs potentiellement affectés
- • Présence de mesures de mitigation existantes
- • Originalité et qualité du rapport de sécurité
Types de vulnérabilités recherchées
Vulnérabilités d'application web :
- • Injection SQL et NoSQL
- • Cross-Site Scripting (XSS) persistant et réfléchi
- • Cross-Site Request Forgery (CSRF)
- • Contournement d'authentification
- • Élévation de privilèges
- • Divulgation d'informations sensibles
- • Insecure Direct Object References (IDOR)
Vulnérabilités infrastructure :
- • Configurations de serveur non sécurisées
- • Problèmes de chiffrement/transport
- • Fuites de tokens ou clés API
- • Problèmes de CORS malconfiguré
- • Vulnérabilités dans les dépendances
- • Bypass de protections DDoS
- • Failles dans l'API REST
Exclusions et limitations
Activités interdites :
- • Tests automatisés causant une charge excessive sur nos systèmes
- • Accès ou modification de données appartenant à d'autres utilisateurs
- • Tests sur des environnements de production sans autorisation préalable
- • Divulgation publique de vulnérabilités avant correction
- • Utilisation d'outils de scan agressifs sans coordination
- • Exploitation prolongée de vulnérabilités découvertes
- • Tests impliquant de l'ingénierie sociale sur nos employés
Récompenses et reconnaissance
Au-delà des récompenses financières, nous offrons une reconnaissance publique des chercheurs en sécurité qui contribuent de manière significative à la sécurité de Cexro OCR.
Hall of Fame des contributeurs :
Vulnérabilités critiques résolues
Chercheurs contributeurs
MAD de récompenses distribuées
Contactez notre équipe sécurité
Questions sur le programme ? Besoin d'autorisation pour des tests spécifiques ? Notre équipe sécurité est disponible pour vous guider.
Conditions légales
En participant à ce programme, vous acceptez de ne pas divulguer publiquement la vulnérabilité jusqu'à ce qu'elle soit corrigée. Cexro se réserve le droit de déterminer l'éligibilité et le montant des récompenses selon son évaluation.