Программа вознаграждения за найденные уязвимости

Суммы на платформе указаны ориентировочные, окончательный размер вознаграждения можно узнать после проверки и оценки нашей командой найденной вами уязвимости

Критичная от 50 тыс. до 100 тыс. рублей
Высокая от 20 тыс. до 50 тыс.
Средняя от 5 тыс. до 20 тыс.
Низкая от от 1 тыс. до 5 тыс.

Правила участия

Участниками программы по поиску уязвимостей в продуктах ООО «СЕЛСАП» могут быть только дееспособные физические лица, старше 18 лет. К участию в настоящей Bug Bounty-программе не допускаются действующие и бывшие сотрудники ООО «СЕЛСАП» и/или аффилированные с ООО «СЕЛСАП» лица.

Участвуя в нашей bug-bounty программе, вы подтверждаете, что прочитали и согласились с "Правилами Участия". Нарушение любого из этих правил может привести к лишению права на вознаграждение. Область действия bug-bounty программы ограничивается техническими уязвимостями в сервисах компании. Если вы столкнулись с проблемами, которые никак не связаны с безопасностью, обратитесь в службу поддержки клиентов через чат на сайте.

Специализированные тестовые аккаунты, тестовое окружение или иной дополнительный доступ не предусмотрен настоящей программой. Используйте собственные аккаунты для проведения тестирования. При проведении тестирования участники должны в каждый запрос к тестируемым ресурсам подставлять заголовок X-Bug-Bounty: {username}. Значение {username} должно позволить однозначно идентифицировать участника программы.

Запрещены следующие виды исследований:

• Использование уязвимостей более, чем необходимо для доказательства их существования. Для подтверждения наличия уязвимости используйте минимально возможный POC (Proof of Concept). В случае, если это может повлиять на других пользователей или же работоспособность системы, свяжитесь с нами для получения разрешения. Дальнейшая эксплуатация уязвимостей строго запрещена;
• Выполнение агрессивных действий, которые могут негативно повлиять на ООО «СЕЛСАП» или его клиентов (например, спам, brute-force, атаки вида «Отказ в обслуживании»);
• Проведение любого вида физического воздействия на персонал, имущество или центры обработки данных ООО «СЕЛСАП»;
• Социальная инженерия по отношению к сотрудникам ООО «СЕЛСАП», подрядчикам или пользователям;
• Использование автоматических сканеров без указания узкой области применения. Сканирование должно быть ограничено 5 запросами в секунду;
• Перебор имён пользователей через сброс логина или пароля;
• Перебор кодов приглашения/промо-акций и т.д.

Раскрытие информации об уязвимостях

Не разглашайте никакой информации об отчёте, не получив явного согласия на это от отдела кибербезопасности ООО «СЕЛСАП».

Тестирование RCE

Тестирование уязвимостей, которые могут приводить к удаленному исполнению кода, должно выполняться в соответствии с данной политикой. Во время тестирования запрещены любые действия на сервере кроме:

• Выполнения команд ifconfig (ipconfig), hostname, whoami ;
• Чтения содержимого файлов /etc/passwd и /proc/sys/kernel/hostname (drive:/boot.ini, drive:/install.ini);
• Создания пустого файла в каталоге текущего пользователя.
  При необходимости проведения иных действий, необходимо предварительно согласовать их с отделом кибербезопасности ООО «СЕЛСАП» по адресу admin@selsup.ru.

Тестирование SQL инъекций

Тестирование уязвимостей, которые могут приводить к внедрению команд SQL, должно выполняться в соответствии с данным разделом правил программы. Во время тестирования запрещены любые действия на сервере кроме:

• Получения данных о текущей БД (SELECT database()), ее версии (SELECT @@version), текущего пользователя (SELECT user(), SELECT system_user()) или имени хоста (SELECT @@hostname);
• Получения схемы БД (SELECT table_schema), списка таблиц в ней (SELECT table_name) и имен столбцов в таблицах (SELECT column_name);
• Выполнения математических, конверсионных или логических запросов (включая использование SLEEP) без извлечения данных (кроме тех, что перечислены выше).

При необходимости проведения иных действий необходимо предварительно согласовать их с отделом кибербезопасности ООО «СЕЛСАП».

Загрузка и чтение файлов

Тестирование уязвимостей, которые могут приводить к чтению произвольных файлов на сервере или произвольной загрузке файлов, должно выполняться в соответствии с данной политикой. Запрещены следующие действия при загрузке файлов:

• Изменение, модификация, удаление и замена любых файлов на сервере (включая системные), кроме тех, что ассоциированы с вашей учетной записью либо с учетной записью пользователя, который явно выразил свое согласие;
• Загрузка файлов, которые могут вызвать отказ в обслуживании (например, файлов большого размера);
• Загрузка любых вредоносных файлов.

При получении возможности чтения произвольных файлов на сервере запрещены любые действия кроме чтения таких файлов, как /etc/passwd и /proc/sys/kernel/hostname (drive:/boot.ini, drive:/install.ini). При необходимости проведения иных действий, необходимо предварительно согласовать их с отделом кибербезопасности ООО «СЕЛСАП».

Уязвимости и недостатки, которые не принимаются к рассмотрению

Следующие уязвимости находятся вне области тестирования:

• Self-XSS, XSS в непопулярных или устаревших браузерах, Flash-based XSS;
• CSRF и XSS без воздействия на чувствительные данные;
• Отсутствие рекомендованных механизмов защиты* (например, HTTP заголовков безопасности, флагов безопасности cookie или защиты от CSRF);
• Ошибки в настройке CORS, без детального описания вектора атаки и доказательств потенциального нанесения ущерба или вреда;
• Использование устаревшего или потенциально уязвимого стороннего ПО, без детального описания вектора атаки и доказательств потенциального нанесения ущерба или вреда;
• Нетехнические уязвимости (например, мошенничество);
• Раскрытие ограниченных в возможностях API-ключей в JS-коде;
• Comma Separated Values (CSV) инъекции без демонстрации уязвимости;
• Уязвимости с подменой контента и внедрением текста без отображения вектора атаки/без возможности изменения HTML/CSS;
• Возможность неограниченной отправки СМС и email;
• Атаки типа DOS;
• Rate-limit уязвимости или bruteforce-атаки на ресурсах без аутентификации;
• Невыполнение лучших практик при настройке SSL/TLS-коммуникаций, небезопасно сконфигурированные TLS или SSL, без детального описания вектора атаки и доказательств потенциального нанесения ущерба или вреда;
• Разглашение информации о существовании в системе данного имени пользователя, email или номера телефона;
• Full Path Disclosure;
• Разглашение технической или нечувствительной информации, без детального описания вектора атаки и доказательств потенциального нанесения ущерба или вреда (например, версии продукта или используемого ПО, stacktrace);
• Open Redirect без дополнительного вектора атаки (например, кражи токена авторизации);
• Подмена контента на странице;
• Tabnabbing;
• Уязвимости, требующие выполнения сложного или маловероятного сценария взаимодействия с пользователем;
• Уязвимости, необходимым условием эксплуатации которых является наличие вредоносного ПО, root-прав или jailbreak на устройстве;
• Атаки, требующие MITM чужого соединения или физической близости с чужим устройством (например, атаки через NFC, Bluetooth, Wi-Fi и shoulder surfing);
• Маловероятные или теоретические атаки без доказательств возможности их осуществления;
• Уязвимости, затрагивающие только пользователей, использующих необновленные версии браузеров;
• Отчеты сканеров уязвимостей и других автоматизированных инструментов;
• Сообщения о публично доступных панелях входа;
• Clickjacking;
• Неследование лучшим практикам при настройке электронных почтовых ящиков (некорректная, неполная или отсутствующие SPF/DKIM/DMARC-записи или др.).

Тестовые стенды

В некоторых случаях, в процессе исследования безопасности наших систем и сервисов вы можете столкнуться с тестовыми стендами этих систем, которые могут быть явно не исключены из области тестирования.

В наименованиях доменов таких тестовых стендов содержатся аббревиатуры demo, test, team, job и некоторые другие. Например, URL https://demo.selsup.ru будет означать тестовый стенд.

Сообщения о выявленных и подтвержденных уязвимостях в приложениях на тестовых стендах рассматриваются нами как информационные и будут вознаграждены, если те же уязвимости будут выявлены в соответствующих промышленных системах и сервисах.

Вознаграждение

Мы выплачиваем вознаграждения внешним исследователям безопасности только за обнаружение ранее неизвестных проблем при выполнении всех "Правил участия". Все отчеты об уязвимостях рассматриваются индивидуально в зависимости от критичности системы, в который обнаружена уязвимость, и критичности самой уязвимости.

Работа с дубликатами

Вознаграждение выплачивается только за первый полученный отчет (при условии, что он содержит всю необходимую информацию для воспроизведения уязвимости). Любые последующие отчеты, затрагивающие ту же уязвимость, будут помечены как дублирующие. Отчеты, содержащие схожие векторы атак также могут считаться дублирующими, в случае если команда безопасности считает, что информации из одного отчета достаточно для исправления всех зарегистрированных векторов атак или ошибок. Отчет может быть дубликатом отчета другого исследователя или отчета внутренней команды безопасности.

Требования к направляемому отчету

Один отчет должен описывать одну уязвимость. Исключением являются те случаи, когда уязвимости либо связаны между собой, либо их можно скомбинировать в цепочку. Отчет об уязвимости должен включать в себя следующее:

• Описание уязвимости;
• Шаги воспроизведения;
• Анализ критичности;
• Рекомендации по устранению;
• URL уязвимого приложения;
• Тип обнаруженной уязвимости;
• Скриншоты или видеозапись, подтверждающие наличие уязвимости и демонстрирующие шаги воспроизведения;
• Пример форматированного запроса из BurpSuite (или любой другой POC);
• В некоторых случаях куски кода.

Несоблюдение минимальных требований может привести к снижению суммы вознаграждения. Если в отчете недостаточно данных, чтобы проверить наличие уязвимости, выплата вознаграждения не осуществляется.
Вся информация о найденной уязвимости (включая вложения) должна храниться только в отчете, который вы отправляете. Не допускается размещение такой информации на внешних ресурсах.