«Азбука вкуса» уделяет особое внимание безопасности, целостности и доступности своих данных и систем, а также своих клиентов, сотрудников и партнеров. Мы ценим работу исследователей в области безопасности, направленную на повышение безопасности наших продуктов и услуг и призываем сообщество принять участие в нашей программе по вознаграждению за найденные уязвимости.
«Азбука вкуса» уделяет особое внимание безопасности, целостности и доступности своих данных и систем, а также своих клиентов, сотрудников и партнеров. Мы ценим работу исследователей в области безопасности, направленную на повышение безопасности наших продуктов и услуг и призываем сообщество принять участие в нашей программе по вознаграждению за найденные уязвимости.
Отчеты автоматических сканеров уязвимостей (без проверки со стороны исследователя) рассматриваются вне области обнаружения.
Как правило, мы стараемся достичь следующего времени для ответа:
Время ответа может быть увеличено во время национальных праздничных дней и выходных.
Сервисы, расположенные на доменных именах: av.ru (и субдоменах), azbukavkusa.ru (и субдоменах);
Сервисы, расположенные на сетевых адресах: 195.19.210.0/24;
Сервисы, доступные в беспроводных сетях Компании и сами беспроводные сети, принадлежащие компании «Азбука вкуса».
Область обнаружения ограничена исключительно техническими уязвимостями в наших сервисах и веб-приложениях. Любая уязвимость дизайна или реализации, которая существенно влияет на конфиденциальность или целостность данных, вероятно, будет применима к настоящей политике.
Должны воспроизводятся в браузерах: Chrome, Firefox,Safari, Opera, Edge, Internet Explorer.
Браузеры должны быть обновлены до последней версии (последняя выпущенная стабильная версия) на момент отправления отчета. Уязвимости, которые требуют установки определённых сервисов, расширений и плагинов выходят за рамки области обнаружения уязвимостей.
Все сервисы, не указанные в области обнаружения.
Если веб-страницы имеют перенаправление на другие доменные имена, то они выходят из области обнаружения.
CSRF-уязвимостях для некритичных действий (logout и другие);
Уязвимостях типа Self-XSS без демонстрации реального воздействия на безопасность пользователей или систем
Framing- и clickjacking-уязвимостях без документированной серии кликов, подтверждающей существование уязвимости;
Отсутствии механизма безопасности / несоответствии лучшим практикам без демонстрации реального воздействия на безопасность пользователей или систем;
Отсутствии SSL/TLS, использовании небезопасных шифров SSL/TLS;
Google/Yandex API-ключи;
Атаках, требующих полного доступа к паролям, токенам, профилю браузера или локальной системе;
Раскрытии некритичной информации (такой, как версия продукта, протокола и т.д.);
Ошибках, которые не затрагивают последние версии современных браузеров и ошибках, связанных с расширениями браузеров;
Уязвимостях, которые затрагивают только пользователей с определенными браузерами;
Атаках, требующих чрезвычайно маловероятного пользовательского взаимодействия;
Атаках типа «отказ в обслуживании» или уязвимостях, связанных с ограничением частоты запросов;
Временных атаках, которые доказывают существование учетной записи пользователя и т.п.;
Небезопасных настройках cookie (для некритичных cookie);
Ошибках в содержании / сервисах, которые не принадлежат или не управляются Компанией (сюда входят сторонние службы, работающие на субдоменах);
Уязвимостях, которые Компания определяет, как уязвимости с приемлемым уровнем риска;
Скриптинге или другой автоматизации, переборе предполагаемой функциональности и параметров;
Отсутствие DMARC записи на поддоменах.
Отчеты, содержащие информацию об уязвимостях нулевого дня в стороннем программном обеспечении, рассматриваются в индивидуальном порядке и не гарантируют выплату вознаграждения.
Отчет об ошибке должен содержать подробное описание обнаруженной уязвимости, краткие шаги по ее воспроизведению или рабочее доказательство концепции (PoC). Видео и скриншоты могут иллюстрировать отчет об ошибке, но не могут его заменить.
В отчете необходимо отразить следующие основные разделы:
Вся дальнейшая эксплуатация уязвимости после присланного по ней отчета выходит из области обнаружения, за исключением минимума, необходимого для доказательства эксплуатации уязвимости.
В случае атаки RCE или инъекции Вы можете вводить команды с указанием версии базы данных, имени системы или локального IP-адреса.
Вся последующая эксплуатация уязвимости, которая приведет к дальнейшим уязвимостям и/или к риску нарушения стабильности или целостности систем, выходит за область обнаружения.