Скоуп:

• api.konsol.pro
• cards.konsol.pro
• app.konsol.pro
• psb.konsol.pro
• app.restaff.work
• *.konsol.team
• app.algorithm24.ru
• Android: Play Store com.konsolpro.konsolpro
• https://apps.apple.com/ru/app/%D0%BA%D0%BE%D0%BD%D1%81%D0%BE%D0%BB%D1%8C/id1566105228

Так же в скоупе, но с максимальным вознаграждением в 7000 рублей:

• konsol.team
• chat.konsol.team
• vpn.konsol.pro
• konsol.pro

Не входит в скоуп:

• konsol.pro/blog

Идентификация СЗИ:

• Во избежание классификации сгенерированного пользователем трафика как вредоносного и предотвращения связанных с этим проблем необходимо добавлять HTTP-заголовок ко всем исходящим запросам: X-Bug-Bounty: username.

Правила вознаграждения

• Self-XSS, XSS в непопулярных или устаревших браузерах, Flash-based XSS.
• CSRF и XSS без воздействия на чувствительные данные.
• Отсутствие рекомендованных механизмов защиты* (например, HTTP-заголовков, флагов безопасности куки или защиты от CSRF).
• Ошибки в настройке CORS*.
• Использование устаревшего или потенциально уязвимого стороннего ПО*.
• Атаки, связанные с мошенничеством или кражей.
• Возможность неограниченной отправки SMS-сообщений и сообщений эл. почты.
• Атаки типа DoS*.
• Небезопасно сконфигурированные TLS или SSL*.
• Разглашение информации о существовании в системе имени пользователя, адреса эл. почты или номера телефона.
• Full Path Disclosure.
• Разглашение технической или нечувствительной информации* (например, версии продукта или используемого ПО, stack trace).
• Open redirect без дополнительного вектора атаки (например, кражи токена авторизации).
• Подмена контента на странице.
• Tabnabbing.
• Уязвимости, требующие выполнения сложного или маловероятного сценария взаимодействия с пользователем.
• Уязвимости, необходимым условием эксплуатации которых является наличие вредоносного ПО, root-прав или jailbreak на устройстве.
• Атаки, требующие MITM чужого соединения или физической близости с чужим устройством (например, атаки через NFC, Bluetooth, Wi-Fi и shoulder surfing).
• Маловероятные или теоретические атаки без доказательств возможности их проведения.
• Без детального описания вектора атаки и доказательств потенциального нанесения ущерба или вреда.

Не рассматриваются отчеты, содержащие следующую информацию

• Сообщения об уязвимостях в сервисах, не относящихся к экосистеме Konsol.PRO.
• Проблемы, не связанные с безопасностью.
• Сообщения о возможных DDoS-атаках.
• Информация об IP-адресах, DNS-записях и открытых портах.
• Сообщения о применении фишинга и других техник социальной инженерии.
• Сообщения о публично доступных панелях входа.
• Разглашение публичной информации о пользователях.
• Сообщения о недостатках использования четырехсимвольных SMS-кодов.
• Сведения об обходе проверки на root и jailbreak.
• Сообщения о возможности обратной разработки мобильных приложений.
• Сообщения от сканеров безопасности и других средств автоматического сканирования.
• Сообщения об уязвимости без демонстрации ее реального существования.
• Сообщения об уязвимости без указания на достоверно возможные негативные последствия ее эксплуатации.
• Сообщения об отсутствии заголовков безопасности.
• Clickjacking отчеты, основанные на отсутствии HTTP-заголовков. Для рассмотрения Clickjacking отчета необходимо предоставить корректный PoC и сценарий атаки с описанием негативных последствий ее реализации.
• Сообщения об отсутствии лучших практик безопасности.
• Атаки, требующие MITM или физический доступ к устройству пользователя.
• Уязвимости, которые затрагивают только пользователей устаревших или уязвимых браузеров и платформ.
• Уязвимости, которыми можно навредить только самому себе.

Правила тестирования

• Для проведения тестирования пользователям необходимо использовать собственные учетные записи либо учетные записи пользователей, которые явно выразили свое согласие на такие действия.
• Составляйте подробные отчеты с рабочими шагами для воспроизведения сценария атаки. Если отчет оформлен недостаточно подробно, чтобы воспроизвести проблему, пользователь может быть лишен права на получение вознаграждения.
• Чтобы подтвердить наличие уязвимости, необходимо представить минимально возможный POC (proof of concept). Если это может повлиять на других пользователей или же на работоспособность системы, свяжитесь с принципалом для получения разрешения.
  Дальнейшая эксплуатация уязвимостей строго запрещена.
• Не проводите автоматизированный перебор, атаки типа «отказ в обслуживании» (DoS- и DDoS-атаки), не отправляйте спам нашим пользователям, не используйте методы социальной инженерии и фишинг, направленные на наших сотрудников и подрядчиков.
• Обращения в техподдержку и отправка любых форм, которые будут обработаны людьми, строго запрещены.
• В случае дубликата мы наградим только пользователя, приславшего первый отчет об уязвимости (если описанный им сценарий полностью воспроизводится).
• Решение известных нам проблем, находящихся в процессе исправления, не претендует на вознаграждение.
• Никому не сообщайте информацию о найденной уязвимости без нашего разрешения.
• Публичные 0-day-уязвимости с официальным патчем, выпущенным менее двух месяцев назад, могут рассматриваться как дубликаты, если они известны нашей команде из общедоступных источников.
• Во время поиска уязвимостей следует избегать нарушения конфиденциальности, целостности и доступности информации в сервисах принципала.
• Запрещена любая деятельность, которая может нанести ущерб приложениям компании, ее инфраструктуре, клиентам и партнерам.

• Автоматическое сканирование должно быть ограничено пятью запросами в секунду.

Политика тестирования RCE

• выполнения команд ifconfig (ipconfig), hostname, whoami;
• чтения содержимого файлов /etc/passwd и /proc/sys/kernel/hostname (drive:/boot.ini, drive:/install.ini);
• создания пустого файла в каталоге текущего пользователя.

Политика тестирования SQL-инъекций

• получения данных о текущей БД (SELECT database()), ее версии (SELECT @@version), текущем пользователе (SELECT user(), SELECT system_user()) или имени узла (SELECT @@hostname);
• получения схемы БД (SELECT table_schema), списка таблиц в ней (SELECT table_name) и имен столбцов в таблицах (SELECT column_name);
• выполнения математических, конверсионных или логических запросов (включая использование SLEEP) без извлечения данных (кроме тех, что перечислены выше).

Политика загрузки и чтения файлов

• Изменение, модификация, удаление и замена любых файлов на сервере (включая системные), кроме тех, что ассоциированы с вашей учетной записью либо с учетной записью пользователя, который явно выразил свое согласие.
• Загрузка файлов, которые могут вызвать отказ в обслуживании (например, файлов большого размера).
• Загрузка вредоносных файлов (например, малвари или шпионского ПО).

Требования к отчету

• Описание уязвимости.
• Шаги воспроизведения.
• Анализ опасности.
• Рекомендации по устранению.

• URL уязвимого приложения.
• Тип обнаруженной уязвимости.
• Скриншоты или видеозапись, подтверждающие наличие уязвимости и демонстрирующие шаги ее воспроизведения.
• Пример форматированного запроса из Burp Suite (или любой другой PoC).
• Фрагменты кода (в некоторых случаях).