MyReviews
Company: CraftumMyReviews — это популярный российский сервис для автоматизации сбора, мониторинга и управления отзывами клиентов. Он помогает бизнесу отслеживать репутацию в интернете, собирать обратную связь и улучшать позиции компании в поисковиках.
Rewards are paid to individual entrepreneurs and self-employed persons
Program description
Правила программы
Принимаемые языки:
- Английский
- Русский
Оглавление
- Какие уязвимости искать
- Какие уязвимости НЕ искать
- Правила участия
- Вознаграждения
- Прочая информация
- Как зарегистрировать учетные записи для исследований
Политика загрузки и чтения файлов
Тестирование уязвимостей, которые могут приводить к чтению произвольных файлов на сервере или произвольной загрузке файлов, должно выполняться в соответствии с данной политикой. К запрещенным действиям при загрузке файлов относятся:
- Изменение, модификация, удаление и замена любых файлов на сервере (включая системные), кроме тех, что ассоциированы с вашей учетной записью либо с учетной записью пользователя, который явно выразил свое согласие.
- Загрузка файлов, которые могут вызвать отказ в обслуживании (например, файлов большого размера).
- Загрузка вредоносных файлов (например, малвари или шпионского ПО).
- При получении возможности чтения произвольных файлов на сервере запрещены любые действия кроме чтения файла /etc/ufw/user6.rules
При необходимости проведения иных действий необходимо предварительно согласовать их с Компанией
Какие уязвимости искать?
В скоуп входят следующие ресурсы:
- myreviews.ru
- myreviews.dev
*- .myreviews.dev
- myreviews.dev
*- .myreviews.dev
Мы в первую очередь заинтересованы в критических уязвимостях на стороне сервера. При этом нахождение других типов уязвимостей также приветствуется. Если вы сомневаетесь, стоит ли связываться с нами по поводу обнаруженной проблемы, посмотрите, нет ли ее в списке «Какие уязвимости НЕ искать?». В случае если она там отсутствует, смело отправляйте отчет с детальным описанием проблемы.
Ниже приведены примеры уязвимостей, за которые мы с радостью выплатим вознаграждение (список далеко не полный основываясь на OWASP Top 10).
Общее
- Удаленное исполнение кода (RCE);
- Инъекции (например, SQL-инъекции или XML-инъекции);
- LFR/LFI/RFI;
- Blind SSRF;
- Уязвимости бизнес-логики;
- IDOR;
- Уязвимости контроля доступа;
- Раскрытие чувствительной информации;
- Захват аккаунта;
- XSS и CSRF с воздействием на чувствительные данные;
- Внедрение обходных финансовых инструментов (списание средств), снятие ограничений на платные операции и услуги.
Какие уязвимости НЕ искать?
- Self-XSS;
- Любой XSS, который может быть выполнен только в рамках одного аккаунта, независимо от количества пользователей аккаунта;
- Раскрытие информации, не являющейся конфиденциальной, например версии продукта;
- Раскрытие публичной информации о пользователе или сообществе, например nickname;
- Раскрытие публичных, demo, test, example или client-side API-ключей/токенов без доступа к защищенным данным, операциям, привилегиям или внутренним системам;
- Упрощенная регистрация и авторизация без подтверждения капчи, SMS и других best practices;
- Недостатки аутентификации или авторизации, которые не позволяют получить доступ к данным, операциям или привилегиям других пользователей и не приводят к дальнейшей эксплуатации;
- Отчеты от сканеров безопасности и других автоматизированных систем без ручной валидации и подтвержденного impact;
- Отчеты об уязвимостях, основанные исключительно на версиях программного обеспечения или протокола без достоверного подтверждения концепции;
- Сообщения о некорректной конфигурации, отсутствии или неполной реализации защитных механизмов, например CORS, CSP, CSRF, SameSite, X-Frame-Options и аналогичных controls, без подтвержденного самостоятельного impact, такого как доступ к защищенным данным, выполнение действий от имени пользователя или обход авторизации;
- Отсутствие заголовков безопасности;
- Отсутствие флага Secure или HttpOnly у cookie без подтвержденного самостоятельного impact;
- Logout CSRF;
- Clickjacking и фрейминг без подтвержденного самостоятельного impact;
- Blind SSRF или внутренняя сетевая достижимость без безопасно подтвержденного impact (например, через согласованный test endpoint или предоставленный внутренний test-host);
- Раскрытие внутренних диагностических данных, включая stack traces, внутренние hostname, IP-адреса, service names, paths и сообщения об ошибках, без подтвержденного самостоятельного impact;
- IDN homograph attacks;
- Атаки, требующие полного доступа к устройству, странице пользователя или профилю браузера;
- Уязвимости в партнерских сервисах и продуктах, которые напрямую не влияют на безопасность продуктов и сервисов MyReviews;
- Фиксация сессии без подтвержденного account takeover или иного самостоятельного impact;
- Скриптинг в документах PDF;
- Теоретические атаки без доказательства возможности практического использования;
- Любые проблемы, связанные с brute force;
- Проблемы, связанные с валидацией входных данных в какой-либо форме, без предоставления реальной уязвимости;
- Возможности перечисления пользователей системы, логинов, email-адресов и иных идентификаторов без доступа к защищенным данным, операциям или привилегиям;
- Broken Link Hijacking и Domain Hijacking;
- Проблемы с записями DMARC, SPF, DNSSEC, DKIM;
- Недействительные перенаправления и открытые redirect'ы, если проблема не влияет на безопасность сервиса, например не позволяет украсть пользовательский токен авторизации;
- Обход WAF или прямой доступ к серверу без подтвержденного практического impact;
- Включенные методы HTTP OPTIONS или TRACE без подтвержденного практического impact;
- MitM, перехват или атаки, требующие контроля сети жертвы либо физического присутствия в сети;
- Реализация продуктовых функций без учета best practices ИБ, dark patterns ИБ и аналогичные замечания без подтвержденного самостоятельного impact;
- DoS/DDoS;
- Возможность отправки большого количества сообщений;
- Возможность отправки спама или файла вредоносного ПО, например спам письмами о регистрации или восстановлении пароля;
- Abuse публичных форм и endpoint'ов, предназначенных для анонимного пользовательского ввода, если не показан доступ к чужим данным, аккаунтам, платежным операциям или иной самостоятельный security impact;
- Race conditions без подтвержденного нарушения авторизации, биллинга, квот, доступа к данным или другого значимого security/business-инварианта;
- Раскрытие метаданных EXIF в изображениях;
- Уязвимости, позволяющие узнать IP-адрес без других идентифицирующих сведений о клиенте, таких как ФИО или логин;
- Раздел "Есть идея"
Правила участия
Участвуя в нашей программе bug bounty, вы подтверждаете, что прочитали «Правила участия» и согласились с ними. Нарушение любого из этих правил может привести к лишению права на вознаграждение.
Общие правила
- Область действия программы bug bounty ограничивается техническими уязвимостями в сервисах компании. Если вы столкнулись с проблемами, которые никак не связаны с безопасностью, обратитесь в службу поддержки клиентов.
- При обнаружении уязвимости 0-day или 1-day, официальный патч которой был менее недели назад, выплата награды осуществляется по усмотрению команды безопасности MyReviews и рассматривается в каждом конкретном случае.
Правила тестирования
- Для проведения тестирования используйте только свои собственные учетные записи, либо учетные записи пользователей, которые явно выразили свое согласие, либо учетные записи, предоставленные для тестирования с бонусными тарифами. Не пытайтесь получить доступ к чужим аккаунтам или любой конфиденциальной информации.
- Во время поиска уязвимостей следует избегать нарушения конфиденциальности, целостности и доступности информации в наших сервисах.
- Запрещена любая деятельность, которая может нанести ущерб приложениям компании, ее инфраструктуре, клиентам и партнерам. Примеры запрещенных действий — социальная инженерия, фишинг, атаки типа «отказ в обслуживании», физическое воздействие на инфраструктуру.
- Для подтверждения наличия уязвимости используйте минимально возможный POC (proof of concept). В случае если это может повлиять на других пользователей или же работоспособность системы, свяжитесь с нами для получения разрешения. Дальнейшая эксплуатация уязвимостей строго запрещена.
Требования к отчету
Отчет должен содержать:
- полное описание найденной уязвимости
- описание влияния на безопасность пользователя и/или системы
- описание шагов воспроизведения уязвимости, по возможности включая:
- скриншоты
- видео
- тексты запросов/ответов
- код используемого эксплойта
- дату и время выполнения запросов
- идентификаторы учетных записей, которые использовались при тестировании
- другие материалы, необходимые для воспроизведения уязвимости
- краткие рекомендации по устранению
Определение критичности уязвимости
Мы оставляем за собой право принимать окончательное решение в отношении серьезности найденной уязвимости. После получения отчета мы проводим внутреннее расследование и определяем степень критичности, учитывая множество факторов, в том числе:
- уровень привилегий, необходимый для реализации атаки;
- трудность обнаружения и эксплуатации;
- наличие требования взаимодействия с пользователем;
- влияние на целостность, доступность и конфиденциальность затронутых данных;
- влияние на бизнес-риски и репутационные риски;
- количество затронутых пользователей.
Вознаграждение!
Мы выплачиваем вознаграждения внешним исследователям безопасности только за обнаружение ранее неизвестных проблем при выполнении всех «Правил участия».
Все отчеты об уязвимостях рассматриваются индивидуально в зависимости от критичности системы, в которой обнаружена уязвимость, и критичности самой уязвимости.
Все отчеты об уязвимостях рассматриваются индивидуально в зависимости от критичности системы, в которой обнаружена уязвимость, и критичности самой уязвимости.
Как и в какие сроки проверяются отчеты?
Отчеты об уязвимостях проверяются нашей внутренней командой безопасности. Время ответа зависит от загруженности, однако мы стараемся прикладывать все усилия, чтобы обработать запрос в течение двух-трех дней.
Как осуществляется работа с дубликатами?
Мы выплачиваем вознаграждение только за первый полученный отчет (при условии, что он содержит всю необходимую информацию для воспроизведения уязвимости). Любые последующие отчеты, затрагивающие ту же уязвимость, будут помечены как дублирующие. Отчеты, содержащие схожие векторы атак также могут считаться дублирующими, в случае если команда безопасности считает, что информации из одного отчета достаточно для исправления всех зарегистрированных векторов атак или ошибок. Отчет может быть дубликатом отчета другого исследователя или отчета внутренней команды безопасности.
Политика раскрытия информации об уязвимостях
Запрещено раскрывать уязвимости или делиться какими-либо подробностями без письменного разрешения команды безопасности MyReviews.
Как зарегистрировать учетные записи для исследований
- Зарегистрироваться, используя свои почтовые ящики;
- После регистрации в исследуемых продуктах сообщите нам id от Вашего тестового аккаунта(ов);
- Указать ссылку на ваш профиль в программе Standoff365 (профиль должен быть верифицирован);
- Отправить письмо на почту bugbounty@myreviews.ru с указанными данными, и мы зачислим бонусный платеж для тестирования.
Задачи из области тестирования оцениваются по максимуму исходя из своей критичности.
Но некоторые случаи могут быть рассмотрены индивидуально, если найденная уязвимость сильно влияет на инфраструктуру в целом.