Positive bug hunting
Company: Positive TechnologiesPositive Technologies предлагает найти уязвимости в ее IT-системах и сервисах.
Rewards are paid to individual entrepreneurs and self-employed persons
Program description
Positive Technologies непрерывно работает над созданием продуктов, которым доверяют компании со всего мира. Наш опыт показывает, что абсолютно безопасных систем не существует, — именно поэтому мы разместили программу вознаграждения за найденные в наших сервисах уязвимости.
Скоуп
- *.ptsecurity.com;
- *.ptsecurity.ru;
- *.maxpatrol.com;
- *.maxpatrol.ru;
- *.phdays.com;
- *.phdays.ru
Примечание. Если вы обнаружили уязвимость, не касающуюся перечисленных выше ресурсов, просим вас также сообщить нам о ней. Наша
команда по безопасности изучит ваш отчет и устранит проблему.
команда по безопасности изучит ваш отчет и устранит проблему.
Требования к участникам
- Участвовать в программе могут все заинтересованные исследователи в возрасте от 18 лет.
- Исследователи в возрасте от 14 до 18 лет имеют право участвовать в программе только при наличии письменного согласия родителей или законного представителя.
- Действующие сотрудники Positive Technologies и бывшие сотрудники, с момента увольнения которых прошло менее 3 лет, могут участвовать в программе, но не могут претендовать на вознаграждение. .
Исследователям необходимо:
- Соблюдать правила, которые устанавливает Positive Technologies в своей программе по раскрытию уязвимостей, а также правила платформы The Standoff 365 Bug Bounty.
- Соблюдать правила конфиденциальности информации. Запрещено получать доступ к данным другого пользователя без его согласия, изменять и уничтожать их, а также раскрывать любую конфиденциальную информацию, случайным образом полученную в ходе поиска уязвимостей или их демонстрации. Преднамеренный доступ к этой информации запрещен и может быть признан незаконным.
- Поддерживать общение с командой по безопасности, направлять ей отчеты о выявленных уязвимостях, оформленные согласно требованиям, и давать обратную связь, если у специалистов возникнут
вопросы об отчете. - Не разглашать информацию об уязвимости. Право на публикацию информации о найденной уязвимости остается за Positive Technologies.
Обязанности Positive Technologies
Positive Technologies обязуется:
- Отдавать приоритет задачам безопасности, оперативно подходить к устранению обнаруженных уязвимостей.
- Уважать исследователей, не препятствовать раскрытию информации об отчете без четких на то оснований.
- Не выдвигать исследователям необоснованные обвинения, связанные с участием в конкурсе.
- Указывать имя исследователя, нашедшего уязвимость, в случае публикации информации о ней.
Недопустимые действия
Исследователям запрещено:
- Воздействовать на учетные записи других пользователей без их разрешения.
- Использовать обнаруженную уязвимость в личных целях.
- Использовать инструменты тестирования уязвимостей, автоматически генерирующие значительные объемы трафика и приводящие к атакам с исчерпанием ресурсов.
- Проводить атаки, наносящие вред целостности и доступности сервисов (например, DoS-атаки, брутфорс-атаки и т. д.), пытаться эксплуатировать уязвимость, нацеленную на исчерпание ресурсов. Следует сообщить о проблеме команде по безопасности Positive Technologies, которая проведет атаку в тестовой среде.
- Проводить физические атаки на персонал, дата-центры и офисы компании.
- Проводить атаки на системы Positive Technologies с использованием техник социальной инженерии (фишинг, вишинг и т. д.) и спам-рассылок клиентам, партнерам и сотрудникам.
- Исследовать серверную инфраструктуру, где размещены веб-приложения.
Вознаграждения за уязвимости
| Уязвимость | Вознаграждение |
|---|---|
| --- | |
| Удаленное выполнение кода (RCE) | 100 000 — 400 000 ₽ |
| Доступ к локальным файлам или их модификация (LFR, RFI, XXE) | 50 000 — 250 000 ₽ |
| Внедрение (внедрение SQL-кода или его аналоги) | 50 000 — 250 000 ₽ |
| Обход аутентификации интерфейса администрирования | 25 000 — 125 000 ₽ |
| Подмена запросов на стороне сервера (SSRF, не вслепую) | 50 000 — 100 000 ₽ |
Размер вознаграждения за уязвимости, найденные в используемом компанией
ПО сторонних производителей (например, CMS), оценивается по минимальной
границе, но может быть увеличен по решению конкурсной комиссии. Все
остальные уязвимости, не указанные в таблице, могут быть оплачены по
решению комиссии в зависимости от их уровня опасности (но вознаграждение
не гарантируется).
ПО сторонних производителей (например, CMS), оценивается по минимальной
границе, но может быть увеличен по решению конкурсной комиссии. Все
остальные уязвимости, не указанные в таблице, могут быть оплачены по
решению комиссии в зависимости от их уровня опасности (но вознаграждение
не гарантируется).
Positive Technologies не выплачивает вознаграждение:
- за отчеты сканеров безопасности и других автоматизированных инструментов;
- раскрытие несекретной информации (наименования ПО или его версии);
- информацию об IP-адресах, DNS-записях и открытых портах;
- проблемы и уязвимости, которые основаны на версии используемого продукта, без демонстрации их эксплуатации;
- уязвимости, эксплуатацию которых блокируют СЗИ, без демонстрации обхода СЗИ;
- отчеты о небезопасных шифрах SSL и TLS без демонстрации их эксплуатации;
- отчеты об отсутствии SSL и других лучших практик (best current practices);
- уязвимости, информацию о которых ранее передали другие участники конкурса (дубликаты отчетов);
- уязвимости 0-day или 1-day, информация о которых получена командой по безопасности из открытых источников.
Требования к оформлению отчета
Отчет об уязвимости должен содержать:
- Название уязвимости.
- Название продукта и версию затрагиваемого ПО (компонента).
- Проверку концепции (proof of concept) или подробное описание обнаруженной уязвимости и шагов по ее воспроизведению.
- Описание сценария атаки: кто может использовать уязвимость, для какой выгоды, как она эксплуатируется и т. д.
- Рекомендации по устранению уязвимости.
Видео и скриншоты могут быть приложены к отчету об ошибке, но не могут его заменить.
Если при исследовании сервисов компании вы обнаружили несколько проблем безопасности, подготовьте отчеты о каждой из выявленных уязвимостей отдельно.
Передача информации об обнаруженной уязвимости происходит согласно правилам платформы.