Политика
- Пожалуйста, предоставляйте подробные отчеты с воспроизводимыми шагами.
- Отправляйте по одной уязвимости за отчет, если только вам не нужно связывать несколько уязвимостей в цепочку.
- В случае дублирования мы присуждаем награду только за первый полученный отчет (при условии, что его можно полностью воспроизвести).
- Объединяйте в один отчет уязвимости, у которых схожая основная причина (например, уязвимость библиотеки, которая используется на нескольких доменах из скоупа).
- Если исправление одной из присланных уязвимостей исправит уязвимость из нового отчета, вознаграждается только первоначальный отчет.
- Старайтесь максимально избегать нарушений конфиденциальности, уничтожения данных, прерывания или ухудшения качества наших услуг. - Взаимодействуйте только с вашими учетными записями или с явного разрешения владельца другой учетной записи.
- Не запускайте сканирование, которое может снизить производительность или привести к отказу в обслуживании целевых приложений.
- Не открывайте и не вносите изменения в учетные записи клиентов.
- Не проводите атаки социальной инженерии, включая фишинг.
- Не используйте спам.
- Не выполняйте никаких физических атак.
- Запрещено любое боковое перемещение и постэксплуатация после получения первоначального доступа.
- Для уязвимостей нулевого дня мы принимаем отчеты после первых двух недель с первой публикации уязвимости.
- Уязвимости типа RCE, SQL, SSRF вне критичной инфраструктуры будут оцениваться ниже. Из критичной инфраструктуры должен быть доступен хост rm.rambler-co.ru (10.99.2.223), ожидаемый ответ от данного хоста – 302.
Правила отчета
- Отчет должен быть полноценным и понятным для проверяющего, содержать все необходимые шаги/команды/зависимости для воспроизведения уязвимости. Шаги нужно расписывать подробно, с указанием того, что именно является уязвимым и как именно эксплуатировать эту уязвимость. Также необходимо приводить подтверждение – скриншоты запросов, результата или видео с полной реализацией атаки и четкими указаниями каждого шага.
- Помимо прочего, нужно описать потенциальные риски от эксплуатации уязвимости, а также будем признательны, если вы опишете ещё и рекомендации по устранению.
- Так как боковое перемещение запрещено, для некоторых уязвимостей достаточно следующих демонстраций:
- SQL Injection – получение версии базы данных;
- XXE / XML injection – демонстрация факта XXE, кроме DOS;
- XSS – вывод алерта или сообщения в лог;
- RCE – hostname, id, ifconfig;
- SSRF – curl на внутренний домен (rm.rambler-co.ru (10.99.2.223)), ожидаемый ответ от данного хоста – 302).
Таблица выплат
Наши выплаты основываются на критичности уязвимости по CVSS 3.0, однако в компании мы используем внутреннюю политику по управлению уязвимостями, где градация критичности отличается от CVSS. Таблица с необходимыми диапазонами критичности:
Уровень опасности | Ранжирование оплаты |
---|
Critical(9.9-10) | 500 000 |
High(8.0-9.8) | от 35 000 до 150 000 |
Памятка по ранжированию критичности
К критичным уязвимостям мы относим только те, которые приводят к получению доступа в корпоративную сеть, поэтому мы просим доказывать проникновение получением ответа от
https://rm.rambler-co.ru (10.99.2.223), ожидаемый ответ от данного хоста – 302.
В качестве атак с высоким уровнем опасности мы определяем:
1. атаки, ведущие к компрометации пользователя и включающие в себя не более чем одно действие от пользователя для реализации;
2. атаки, ведущие к компрометации пользователя с высокими привилегиями, в частности – Stored XSS и Cache Poisoning;
Иные атаки определяются в прочие категории согласно своему уровню критичности по CVSS.
Уязвимости
Основной упор мы хотим сделать на получении критичных уязвимостей:
- RCE;
- Injections;
- SSRF;
- LFI/RFI;
- XXE.
Памятка по отправке отдельных видов уязвимостей
XSS
1. Уязвимость XSS может оцениваться как High только в условиях Хранимой XSS во внутренних сервисах (админка, панель поддержки, и т.д.)
2. Уязвимость XSS в одних и тех же формах и локейшенах, но в разных параметрах, стоит объединить в один отчет.
3. Крайне желательно наличие видео эксплуатации уязвимости или подробно проиллюстрированного описания
CRLF
1. Уязвимость CRLF принимается в случае наличия влияния на безопасность, отличного от установки произвольных Cookie
2. В случае установки произвольных HTTP заголовков такая атака должна сопровождаться реалистичным вектором развития
3. В случае внедрения HTML тэгов факт такого внедрения должен быть проиллюстрирован в браузере (ответа от сервере в Burp Suite и подобных инструментах недостаточно)
DoS
1. Уязвимости типа DoS принимаются только в качестве уязвимости программного обеспечения с идентификатором CVE
2. Для сдачи уязвимости типа DoS не требутся PoC, достаточно подтверждения уязвимой версии
CVE
1. При сдаче уязвимости в формате CVE-\d\d\d\d-[0-9]* пожалуйста прилагайте PoC и описание уязвимости со ссылкой на авторитетные источники, например MITRE
2. При обнаружении уязвимой версии зависимости, библиотеки, инфраструктурного ПО и пр. указывайте способ определения версии, если возможно.
3. Уязвимости не имеющие в отчете приложенный PoC (кроме DoS), приняты не будут
Принимаются только серверные уязвимости** уровня «Критический» и «Высокий».** Уязвимости, основная цель атаки которых – клиент (XSS, CSRF и т.д.), не считая атаки на пользователей с высокими привилегиями (XSS в админской панели), принимаются без оплаты.
Уязвимости вне программы:
- Clickjacking;
- CSRF на логин/логаут;
- Man in the middle;
- любые методы социальной инженерии;
- Self-XSS;
- любая вредоносная активность, которая может привести к отказу в обслуживании (DoS);
- результаты работы автоматических сканеров без реального POC;
- инъекции http-заголовков без серьезного влияния на безопасность (в том числе CRLF);
- SPF/DKIM/DMARC-мисконфигурации;
- SSL/TLS best practice;
- атаки, требующие физического доступа к оборудованию компании;
- уязвимости в сторонних библиотеках, напрямую не ведущие к уязвимостям;
- отсутствие любых других best practice, напрямую не ведущих к уязвимости;
- уязвимости, применимые только к пользователям с устаревшими браузерами;
- устаревшие DNS-записи;
- отсутствие флагов безопасности на некритичных куках;
- утечки информации через заголовок referer;
- утечки информации через /status или /metrics без конкретного влияния на безопасность.
Перечисленные ниже уязвимости мы принимаем как информационные, если они не несут за собой прямого или косвенного финансового риска:
- уязвимости Open Redirect, если они не участвуют в цепочке атаки с более серьезным вектором;
- уязвимости, результатом которых является накрутка каких-либо параметров пользователя (рейтинга, реакций, количества подписчиков, репостов и т.д.), за исключением CSRF-атаки.
Политика раскрытия уязвимостей
Наша программа допускает раскрытие информации о найденных уязвимостях с разрешения представителя компании не менее чем через 30 дней со дня отправки отчета, кроме того, компания оставляет за собой право отказать в публикации отчета или задержать публикацию такового на неопределенный срок без объяснения причин.
Скоуп