$NATCH Online banking
Company: PHD ContestsGlobal Digital Bank представляет вам облачную инфраструктуру и сервисы для обслуживания онлайн и мобильного банка. Данная программа существует в рамках конкурса $NATCH. Отчеты в данной программе принимаются с 11:00 25 мая до 15:00 26 мая.
Rewards are paid to individual entrepreneurs and self-employed persons
This program ended May 30, 2024. Reports are no longer being accepted.
View this company's active programsProgram description
После завершения PhD2 все заработанные в программе баллы обнулятся!
Награждение победителей
Мы с нетерпением ждем возможность поздравить победителей! Оставляйте в своих отчётах или комментариях к нему свой логин, указанный при регистрации в системе Posi Token киберфестиваля Positive Hack Days Fest 2 для начисления награды.
Область действия программы
Все уязвимости, доступные на хосте: https://globaldigitalbank.ru/
Также разрешается инструментальное сканирование открытых портов.
Также разрешается инструментальное сканирование открытых портов.
Ограничения
- эксплуатация найденных сервисов известными CVE сперва нужно согласовать с организаторами конкурса
- запрещается превышать нагрузку атаками типа brute-force и похожими выше 10-15 rps
- выгрузка найденных частей системы без согласования
Требования к уязвимостям
Важно, чтобы мы могли воспроизвести описанные вами уязвимости, поэтому просим вас внимательно отнестись к оформлению отчета.
Мы ждем отчеты с подробным описанием шагов, которые нужно выполнить для воспроизведения; оценку критичности, оценку влияния уязвимости на безопасность банковских сервисов.
Нас интересуют любые проблемы безопасности, попадающие под правила программы. Если вы сомневаетесь, будет ли актуален ваш отчет, проверьте список исключений. Отметим, что в первую очередь нас интересуют следующие типы уязвимостей:
Мы ждем отчеты с подробным описанием шагов, которые нужно выполнить для воспроизведения; оценку критичности, оценку влияния уязвимости на безопасность банковских сервисов.
Нас интересуют любые проблемы безопасности, попадающие под правила программы. Если вы сомневаетесь, будет ли актуален ваш отчет, проверьте список исключений. Отметим, что в первую очередь нас интересуют следующие типы уязвимостей:
- удаленное исполнение кода и инъекции;
- утечки данных пользователей;
- ошибки бизнес-логики, в том числе ошибки финансовых операций;
- ошибки сервиса аутентификации и авторизации;
- мисконфигурации настроек ПО
- доступность критичных сервисов
Мы ценим внимание к деталям!
Вознаграждение
Все отчеты об уязвимостях рассматриваются индивидуально. Мы оставляем за собой право принимать окончательное решение по серьезности найденной уязвимости и критичности компонента.
| Критичность | Critical | High | Medium | Low |
|---|---|---|---|---|
| Максимальная выплата | до 120 POSI Token | до 90 POSI Token | до 60 POSI Token | до 30 POSI Token |
Обработка и оценка отчетов
У нас может уйти больше времени на анализ отчетов, которые не содержат полную информацию по описанной уязвимости или детали шагов, которые нужно выполнить для ее воспроизведения. Для того, чтобы мы могли эффективно и быстро рассматривать ваши отчеты, просим внимательно отнестись к нашим пожеланиям по описанию уязвимостей. Подчеркнем, что отчеты о проблемах, которые не оказывают влияния на безопасность систем банка, могут быть не рассмотрены, но вы сможете сообщить о них в канале конкурса https://t.me/+g0YeyIaG3gA5YzFi
Награждение победителей
Мы с нетерпением ждем возможность поздравить победителей! Мы сможем связаться с вами через комментарии к оставленным отчетам. И не волнуйтесь, если вам придется уйти с мероприятия раньше времени награждения – мы все равно найдем способ передать вам заслуженный приз!
Исключения
В рамках данной программы мы не можем рассматривать к награждению отчеты о следующих проблемах:
Награждение победителей
Мы с нетерпением ждем возможность поздравить победителей! Мы сможем связаться с вами через комментарии к оставленным отчетам. И не волнуйтесь, если вам придется уйти с мероприятия раньше времени награждения – мы все равно найдем способ передать вам заслуженный приз!
Исключения
В рамках данной программы мы не можем рассматривать к награждению отчеты о следующих проблемах:
- теоретические атаки без доказательства эксплуатируемости;
- баги, не связанные с безопасностью