Logo

Вы ищете уязвимости, компании за них платят


Для хакеров
Занимайтесь любимым делом
Когда еще вам предоставится возможность легально и без риска взломать банковское приложение или гигантский маркетплейс?
Зарабатывайте на найденном
Найдете уязвимости в разрешенных скоупах — компания заплатит за них. А если сможете найти способ реализовать недопустимое для компании событие, заработаете еще больше.
Соревнуйтесь и хвастайтесь
Делитесь своим профилем в соцсетях или добавьте ссылку на него в резюме, чтобы блеснуть своими навыками.
Делайте мир вокруг безопаснее
С вашей помощью сервисы, которыми пользуетесь вы, ваши близкие и еще тысячи людей, станут безопаснее и надежнее.
Для компаний
Большая база опытных хакеров
Мы приглашаем на платформу прокаченных исследователей. На счету многих из них — десятки найденных уязвимостей, в том числе с присвоенными CVE. Часто исследователи работают на себя, и их услугами можно воспользоваться только через bug bounty.
Платите только за результат
Вы оплачиваете только подтвержденные уязвимости, найденные в выбранных вами сервисах и сайтах. Вы ничего не платите, если хакеры неделями ломали голову и ничего не нашли.
Проще, чем напрямую с исследователями
Мы предоставляем площадку для взаимодействия с исследователями и берем на себя все формальности, в частности сами оформляем перевод денег при выплате вознаграждений.
Конфиденциально
Мы требуем от всех исследователей строго придерживаться принципов ответственного разглашения. У вас будет достаточно времени, чтобы исправить найденные уязвимости.
Программы
Positive Technologies
Positive Technologies
Positive Technologies непрерывно работает над созданием продуктов, которым доверяют компании со всего мира. Наш опыт в поиске уязвимостей показывает, что абсолютно безопасных систем не существует и именно поэтому мы используем программу вознаграждения за найденные в наших сервисах уязвимости. ## Скоуп * partners.ptsecurity.ru * www.ptsecurity.com В конкурсе участвуют только указанные домены. Все остальные поддомены, домены второго-третьего уровня в скоуп не входят. **Примечание.** Если в ходе проведения исследования Вами была обнаружена уязвимость, не касающаяся перечисленных выше ресурсов, просим Вас также в установленном порядке сообщить нам о проблеме. Наша Команда по безопасности внимательно рассмотрит ваш Отчет и приложит усилия для исправления проблем безопасности. ## Требования к участникам нашей программы 1. Участие в программе могут принимать все заинтересованные Исследователи в возрасте от 18 лет. 2. Участники, возраст которых составляет от 14 до 18 лет, имеют право принимать участие в данной программе только при наличии письменного согласия родителей или законного представителя. 3. Не могут принимать участие в программе вознаграждения сотрудники Positive Technologies. ## Исследователям необходимо 1. Соблюдать правила. Исследователям необходимо действовать в рамках правил, которые устанавливает Positive Technologies в своей программе по раскрытию уязвимостей, а также правила платформы Bug Bounty The Standoff 365. 2. Соблюдать конфиденциальность. Исследователям запрещено осуществлять целенаправленный доступ к данным другого пользователя и последующее их уничтожение. Любая конфиденциальная информация, случайным образом полученная в ходе поиска уязвимостей или демонстрации, не должна раскрываться. Преднамеренный доступ к этой информации запрещен и может быть признан незаконным. 3. Поддерживать общение с Командой по безопасности. Исследователям необходимо направлять отчеты по выявленным уязвимостям, оформленные согласно требованиям, указанным в Политике Компании. В случае необходимости давать обратную связь команде по безопасности при возникновении вопросов по отчету. 4. Не разглашать информацию об уязвимости раньше срока. Исследователям рекомендуется оперативно сообщать о выявленной уязвимости. Не разглашать сведения об уязвимости до момента публичного раскрытия со стороны Positive Technologies или по истечению установленного срока. ## Positive Technologies обязуется соблюдать правила платформы: 1. Ставить приоритетом задачи безопасности. Оперативно подходить к решению обнаруженных проблем безопасности. 2. Уважать исследователей. Не использовать необоснованных запретов на раскрытие информации об отчёте. 3. Не выдвигать необоснованные обвинения, связанные с участием в конкурсе. ## Условия и сроки публичного раскрытия информации об уязвимости * Публичное раскрытие по умолчанию: если ни одна из сторон не возражает, содержание Отчета будет обнародовано в течение 60 дней. * Публичное раскрытие по взаимному соглашению: Positive Technologies будет поддерживать открытое общение с Исследователями, относительно сроков раскрытия информации. Если обе стороны согласны, содержание Отчета может быть обнародовано в согласованное время. * Публичное раскрытие с целью защиты пользователей продукта: если у Positive Technologies есть доказательства активного использования или неминуемого общественного вреда, они могут немедленно предоставить общественности подробности исправления, чтобы пользователи могли принять защитные меры. * Увеличение сроков публичного раскрытия: из-за сложности и других факторов для устранения некоторых уязвимостей потребуется больше времени, чем 60 дней по умолчанию. В этих случаях Отчет может оставаться закрытым, чтобы у Positive Technologies было достаточно времени для решения проблемы безопасности. ## Список недопустимых действий для исследователей * Не воздействовать на учетные записи других пользователей без получения их разрешения. * Не использовать обнаруженную уязвимость в личных целях. * Не использовать инструменты тестирования уязвимостей, автоматически генерирующие значительные объемы трафика и приводящие к атакам с исчерпанием ресурсов. * Не применять атаки, приносящие вред целостности и доступности сервисов (например, DOS-атаки, брутфорс и т.д.). В случае, если обнаружена уязвимость, реализация которой нацелена на исчерпание ресурсов, не осуществлять попыток ее эксплуатации. Следует сообщить о проблеме команде по безопасности, которая в свою очередь реализует атаку в тестовой среде. * Не проводить физические атаки на персонал, дата-центры и офисы Компании. * Не проводить атаки социальной инженерии (фишинг, вишинг и другие виды) и спам рассылки на клиентов, партнёров и сотрудников Positive Technologies. * Не проводить исследование серверной инфраструктуры, где размещены веб-приложения ## Positive Technologies планирует выплачивать вознаграждение за следующие уязвимости | Уязвимость | Вознаграждение| |---|---| | Remote code execution (RCE) | 90 000,00 ₽ - 393 200,00 ₽ | | Local files access and manipulation (LFR, RFI, XXE) | 43 600,00 ₽ - 224 200,00 ₽ | | Injection (SQLi or equivalent) | 36 000,00 ₽ - 224 200,00 ₽ | | Admin interface authentication bypass | 20 000,00 ₽ - 120 000,00 ₽ | | SSRF, non blind | 45 000,00 ₽ - 80 000,00 ₽ | Оценка вознаграждения в используемом программном обеспечении сторонних производителей (например, CMS) оценивается по минимальной границе, но может быть увеличена по решению Конкурсной комиссии. Все остальные уязвимости, не указанные в таблице, могут быть оплачены по решению комиссии, в зависимости от их критичности, но оплата **не гарантируется**. ## Positive Technologies не будет выплачивать вознаграждение за * отчеты сканеров безопасности и других автоматизированных инструментов; * раскрытие некритичной информации, такой как наименование программного обеспечения или его версии; * информацию об IP-адресах, DNS-записях и открытых портах; * проблемы и уязвимости, которые основаны на версии используемого продукта, без демонстрации эксплуатации; * уязвимости, эксплуатация которых блокируется СЗИ, без демонстрации обхода СЗИ. * отчеты о небезопасных шифрах SSL/TLS без демонстрации эксплуатации; * отсутствие SSL и других best current practice; * уязвимости, которые переданы ранее другими участниками Конкурса (дубликаты отчётов). * уязвимости 0-day или 1-day, информация о которых получена Командой по безопасности из открытых источников. ## Требования к оформлению Отчета Отчет об ошибке должен содержать подробное описание обнаруженной уязвимости, краткие шаги по ее воспроизведению или рабочее доказательство концепции (PoC). Видео и скриншоты могут иллюстрировать отчет об ошибке, но не могут его заменить. В отчете необходимо отразить следующие основные разделы: * Название уязвимости. * Продукт и версия затрагиваемого ПО (компонента). * Рабочее доказательство концепции (PoC) или подробное описание шагов по воспроизведению обнаруженной проблемы безопасности. * Описание сценария атаки с указанием следующих основных аспектов: кто хочет использовать конкретную уязвимость, для какой выгоды, каким образом осуществляется реализация и другая дополнительная информация. * Рекомендации по устранению Если в ходе проведения исследования обнаружено несколько проблем безопасности, подготовить отчет по каждой из выявленных уязвимостей отдельно. Порядок процесса передачи информации об обнаруженной уязвимости происходит согласно правилам Платформы.
-
Вознаграждение
Уязвимости
1
Принято отчетов
10
Участников
Азбука вкуса
Азбука вкуса
«Азбука вкуса» уделяет особое внимание безопасности, целостности и доступности своих данных и систем, а также своих клиентов, сотрудников и партнеров. Мы ценим работу исследователей в области безопасности, направленную на повышение безопасности наших продуктов и услуг и призываем сообщество принять участие в нашей программе по вознаграждению за найденные уязвимости. **Отчеты автоматических сканеров уязвимостей (без проверки со стороны исследователя) рассматриваются вне области обнаружения.** ## Время ответа Как правило, мы стараемся достичь следующего времени для ответа: + Время до первого ответа (от момента получения отчета) — до 5 рабочих дней; + Время на обработку отчета (от момента получения отчета) — до 10 рабочих дней; + Время на выплату вознаграждения (от момента обработки отчета) — до 20 рабочих дней. Время ответа может быть увеличено во время национальных праздничных дней и выходных. ## Политика раскрытия информации + Необходимо придерживаться общих принципов ответственного раскрытия информации; + Не разглашать сведения об уязвимостях (даже если они уже исправлены) и не передавать сведения третьим лицам без явного согласия «Азбука вкуса»; + Не использовать обнаруженную уязвимость для своей собственной и/или иной выгоды, за исключением выгоды автора данной программы. Данное требование включает демонстрацию дополнительных рисков, попытка раскрыть конфиденциальные данные или найти другие уязвимости. # Правила программы ## Основные правила + Размер вознаграждения зависит от уровня опасности найденной уязвимости; + В случае дублирования отчетов, выплата вознаграждения будет осуществлена только за первый присланный отчёт (при условии, что уязвимость, описанная в отчете, может быть полностью воспроизведена); + Многочисленные отчёты или описанные в одном отчёте уязвимости, вызванные одной основной проблемой, будут вознаграждены одним вознаграждением. Одна и та же уязвимость, обнаруженная в нескольких доменах, будет рассматривать как одна уязвимость. Просим Вас сообщать обо всех затронутых уязвимостью доменах в рамках одного отчета. Все последующие отчеты будут закрыты как дубликаты; + Тестовые аккаунты могут быть предоставлены по запросу, в исключительных случаях; + Любые отчеты, не входящие в область обнаружения, будут приняты к сведению, но не будут вознаграждены; + Участниками данной программы не могут являться сотрудники компании «Азбука вкуса» (действующими или бывшими), а равно аффилированными с ними лицами. ## При поиске уязвимости и предоставлении отчета необходимо соблюдать следующие требования: + Предоставлять подробные отчеты с воспроизводимыми шагами, включая полные запросы, приводящие к эксплуатации уязвимости; + Просим Вас присылать по одной уязвимости в отчете, за исключением необходимости связать несколько уязвимостей для успешной эксплуатации атаки; + Не разглашать сведения об уязвимостях и не передавать сведения третьим лицам; + Не использовать инструменты тестирования уязвимостей, которые автоматически генерируют значительные объемы и/или частоту сетевого трафика; + Не осуществлять атаки, которые могут нанести вред надёжности и/или целостности служб/сервисов компании «Азбука вкуса» или данных (атаки типа «отказ в обслуживании» и другие); + Не открывать и/или не вносить изменения в учетные записи клиентов. Если необходимо, использовать свои собственные учетные записи для поиска уязвимостей; + Не осуществлять рассылку спама и атаки социальной инженерии на клиентов и сотрудников Компании, включая фишинг; + Не выполнять никаких физических атак; + Любая дальнейшая эксплуатация уязвимости после присланного отчета об этой уязвимости запрещена. # Определение области обнаружения уязвимостей в рамках политики ## В область обнаружения уязвимостей входят: + Сервисы Сервисы, расположенные на доменных именах: av.ru (и субдоменах), azbukavkusa.ru (и субдоменах); Сервисы, расположенные на сетевых адресах: 195.19.210.0/24; Сервисы, доступные в беспроводных сетях Компании и сами беспроводные сети, принадлежащие компании «Азбука вкуса». + Уязвимости Область обнаружения ограничена исключительно техническими уязвимостями в наших сервисах и веб-приложениях. Любая уязвимость дизайна или реализации, которая существенно влияет на конфиденциальность или целостность данных, вероятно, будет применима к настоящей политике. Должны воспроизводятся в браузерах: Chrome, Firefox,Safari, Opera, Edge, Internet Explorer. Браузеры должны быть обновлены до последней версии (последняя выпущенная стабильная версия) на момент отправления отчета. Уязвимости, которые требуют установки определённых сервисов, расширений и плагинов выходят за рамки области обнаружения уязвимостей. ## В область обнаружения уязвимостей не входят: + Сервисы: Все сервисы, не указанные в области обнаружения. Если веб-страницы имеют перенаправление на другие доменные имена, то они выходят из области обнаружения. + Уязвимости: CSRF-уязвимостях для некритичных действий (logout и другие); Уязвимостях типа Self-XSS без демонстрации реального воздействия на безопасность пользователей или систем Framing- и clickjacking-уязвимостях без документированной серии кликов, подтверждающей существование уязвимости; Отсутствии механизма безопасности / несоответствии лучшим практикам без демонстрации реального воздействия на безопасность пользователей или систем; Отсутствии SSL/TLS, использовании небезопасных шифров SSL/TLS; Google/Yandex API-ключи; Атаках, требующих полного доступа к паролям, токенам, профилю браузера или локальной системе; Раскрытии некритичной информации (такой, как версия продукта, протокола и т.д.); Ошибках, которые не затрагивают последние версии современных браузеров и ошибках, связанных с расширениями браузеров; Уязвимостях, которые затрагивают только пользователей с определенными браузерами; Атаках, требующих чрезвычайно маловероятного пользовательского взаимодействия; Атаках типа «отказ в обслуживании» или уязвимостях, связанных с ограничением частоты запросов; Временных атаках, которые доказывают существование учетной записи пользователя и т.п.; Небезопасных настройках cookie (для некритичных cookie); Ошибках в содержании / сервисах, которые не принадлежат или не управляются Компанией (сюда входят сторонние службы, работающие на субдоменах); Уязвимостях, которые Компания определяет, как уязвимости с приемлемым уровнем риска; Скриптинге или другой автоматизации, переборе предполагаемой функциональности и параметров; Отсутствие DMARC записи на поддоменах. **Отчеты, содержащие информацию об уязвимостях нулевого дня в стороннем программном обеспечении, рассматриваются в индивидуальном порядке и не гарантируют выплату вознаграждения.** ## Требования к оформлению Отчета Отчет об ошибке должен содержать подробное описание обнаруженной уязвимости, краткие шаги по ее воспроизведению или рабочее доказательство концепции (PoC). Видео и скриншоты могут иллюстрировать отчет об ошибке, но не могут его заменить. В отчете необходимо отразить следующие основные разделы: + Название уязвимости. + Продукт и версия затрагиваемого ПО (компонента). + Рабочее доказательство концепции (PoC) или подробное описание шагов по воспроизведению обнаруженной проблемы безопасности. + Описание сценария атаки с указанием следующих основных аспектов: кто хочет использовать конкретную уязвимость, для какой выгоды, каким образом осуществляется реализация и другая дополнительная информация. + Рекомендации по устранению # Дальнейшая эксплуатация уязвимости после присланного отчета об этой уязвимости Вся дальнейшая эксплуатация уязвимости после присланного по ней отчета выходит из области обнаружения, за исключением минимума, необходимого для доказательства эксплуатации уязвимости. В случае атаки RCE или инъекции Вы можете вводить команды с указанием версии базы данных, имени системы или локального IP-адреса. Вся последующая эксплуатация уязвимости, которая приведет к дальнейшим уязвимостям и/или к риску нарушения стабильности или целостности систем, выходит за область обнаружения.
-
Вознаграждение
Уязвимости
0
Принято отчетов
22
Участников