Rambler&Co. Блог-платформа LiveJournal

Компания — Rambler&Co
Живой Журнал (LiveJournal, LJ) — это блог-платформа для ведения онлайн-дневников. На Живом Журнале можно публиковать записи и комментарии к постам, вести коллективные блоги (сообщества), добавлять других пользователей в друзья и следить за ними в ленте друзей (френдленте).
Описание программы

Политика

  • Пожалуйста, предоставляйте подробные отчеты с воспроизводимыми шагами.
  • Отправляйте по одной уязвимости за отчет, если только вам не нужно связывать несколько уязвимостей в цепочку.
  • В случае дублирования мы присуждаем награду только за первый полученный отчет (при условии, что его можно полностью воспроизвести).
  • Объединяйте в один отчет уязвимости, у которых схожая основная причина (например, уязвимость библиотеки, которая используется на нескольких доменах из скоупа).
  • Если исправление одной из присланных уязвимостей исправит уязвимость из нового отчета, вознаграждается только первоначальный отчет.
  • Старайтесь максимально избегать нарушений конфиденциальности, уничтожения данных, прерывания или ухудшения качества наших услуг. - Взаимодействуйте только с вашими учетными записями или с явного разрешения владельца другой учетной записи.
  • Не запускайте сканирование, которое может снизить производительность или привести к отказу в обслуживании целевых приложений.
  • Не открывайте и не вносите изменения в учетные записи клиентов.
  • Не проводите атаки социальной инженерии, включая фишинг.
  • Не используйте спам.
  • Не выполняйте никаких физических атак.
  • Запрещено любое боковое перемещение и постэксплуатация после получения первоначального доступа.
  • Для уязвимостей нулевого дня мы принимаем отчеты после первых двух недель с первой публикации уязвимости.
  • Уязвимости типа RCE, SQL, SSRF вне критичной инфраструктуры будут оцениваться ниже. Из критичной инфраструктуры должен быть доступен хост rm.rambler-co.ru (10.99.2.223), ожидаемый ответ от данного хоста – 302.
 


Правила отчета

  • Отчет должен быть полноценным и понятным для проверяющего, содержать все необходимые шаги/команды/зависимости для воспроизведения уязвимости. Шаги нужно расписывать подробно, с указанием того, что именно является уязвимым и как именно эксплуатировать эту уязвимость. Также необходимо приводить подтверждение – скриншоты запросов, результата или видео с полной реализацией атаки и четкими указаниями каждого шага.
  • Помимо прочего, нужно описать потенциальные риски от эксплуатации уязвимости, а также будем признательны, если вы опишете ещё и рекомендации по устранению.
  • Так как боковое перемещение запрещено, для некоторых уязвимостей достаточно следующих демонстраций:
  • SQL Injection – получение версии базы данных;
  • XXE / XML injection – демонстрация факта XXE, кроме DOS;
  • XSS – вывод алерта или сообщения в лог;
  • RCE – hostname, id, ifconfig;
  • SSRF – curl на внутренний домен (rm.rambler-co.ru (10.99.2.223)), ожидаемый ответ от данного хоста – 302).
 

Таблица выплат

Наши выплаты основываются на критичности уязвимости по CVSS 3.0, однако в компании мы используем внутреннюю политику по управлению уязвимостями, где градация критичности отличается от CVSS. Таблица с необходимыми диапазонами критичности:
Уровень опасностиРанжирование оплаты
Critical(9.9-10)500 000
High(8.0-9.8)от 35 000 до 150 000

Памятка по ранжированию критичности

К критичным уязвимостям мы относим только те, которые приводят к получению доступа в корпоративную сеть, поэтому мы просим доказывать проникновение получением ответа от https://rm.rambler-co.ru (10.99.2.223), ожидаемый ответ от данного хоста – 302.
В качестве атак с высоким уровнем опасности мы определяем:
1. атаки, ведущие к компрометации пользователя и включающие в себя не более чем одно действие от пользователя для реализации;
2. атаки, ведущие к компрометации пользователя с высокими привилегиями, в частности – Stored XSS и Cache Poisoning;
Иные атаки определяются в прочие категории согласно своему уровню критичности по CVSS.
 

Уязвимости

Основной упор мы хотим сделать на получении критичных уязвимостей:
  • RCE;
  • Injections;
  • SSRF;
  • LFI/RFI;
  • XXE.
 
Принимаются только серверные уязвимости** уровня «Критический» и «Высокий».** Уязвимости, основная цель атаки которых – клиент (XSS, CSRF и т.д.), не считая атаки на пользователей с высокими привилегиями (XSS в админской панели), принимаются без оплаты.
 

Уязвимости вне программы:

  • Clickjacking;
  • CSRF на логин/логаут;
  • Man in the middle;
  • любые методы социальной инженерии;
  • Self-XSS;
  • любая вредоносная активность, которая может привести к отказу в обслуживании (DoS);
  • результаты работы автоматических сканеров без реального POC;
  • инъекции http-заголовков без серьезного влияния на безопасность (в том числе CRLF);
  • SPF/DKIM/DMARC-мисконфигурации;
  • SSL/TLS best practice;
  • атаки, требующие физического доступа к оборудованию компании;
  • уязвимости в сторонних библиотеках, напрямую не ведущие к уязвимостям;
  • отсутствие любых других best practice, напрямую не ведущих к уязвимости;
  • уязвимости, применимые только к пользователям с устаревшими браузерами;
  • устаревшие DNS-записи;
  • отсутствие флагов безопасности на некритичных куках;
  • утечки информации через заголовок referer;
  • утечки информации через /status или /metrics без конкретного влияния на безопасность.
Перечисленные ниже уязвимости мы принимаем как информационные, если они не несут за собой прямого или косвенного финансового риска:
  • уязвимости Open Redirect, если они не участвуют в цепочке атаки с более серьезным вектором;
  • уязвимости, результатом которых является накрутка каких-либо параметров пользователя (рейтинга, реакций, количества подписчиков, репостов и т.д.), за исключением CSRF-атаки.
 

Политика раскрытия уязвимостей

Наша программа допускает раскрытие информации о найденных уязвимостях с разрешения представителя компании не менее чем через 30 дней со дня отправки отчета, кроме того, компания оставляет за собой право отказать в публикации отчета или задержать публикацию такового на неопределенный срок без объяснения причин.

Скоуп

Запущена 22 октября, 19:00
Изменена 22 октября, 19:14
Формат программы
По уязвимостям
Награда за уязвимости
по уровню опасности
Критический
500K–500K ₽
Высокий
35K–150K ₽
Средний
0–0 ₽
Низкий
0–0 ₽
Отсутствует
0–0 ₽
Топ-хакеры
Общий рейтинг
Баллы
Статистика по программе
0 ₽
Всего выплачено
0 ₽
Средняя выплата
0 ₽
Выплачено за последние 90 дней
12
Всего отчетов принято
12
Всего отчетов сдано
Описание
Уязвимости
Рейтинг
Версии