Правила для нас
· Мы уважаем время и усилия наших исследователей;
· Мы отвечаем в течение 5 рабочих дней;
· Мы обрабатываем отчеты в течение 10 рабочих дней после ответа;
· Мы можем увеличить сроки обработки отчетов, но в таком случае мы проинформируем вас о задержке;
· Мы определим сумму вознаграждения в течение 10 рабочих дней после обработки;
· Мы сделаем все возможное, чтобы в процессе обработки отчета вы были в курсе нашего прогресса.
Правила по созданию сущностей, чтобы не мешать работе пользователей на сайте.
Площадки: создавать только закрытые. Их без приглашения пользователи не увидят.
Грузы: создавать только на заранее созданных закрытых площадках.
Машины: создавать машины по непопулярным направлениям (Лиссабон -> Ханой, например) с огромными ставками (от 1000р за километр).
Объявления тракмаркет: в заголовке объявления писать, что оно тестовое. Сразу после проверки своей гипотезы отправлять объявление в архив.
Тендеры: добавлять только на закрытые площадки
Претензии/рекомендации, отзывы на грузы/машины, заказы, документы: не отправлять реальным пользователям
Скоуп
Ниже представлены ресурсы, которые являются нашим основным фокусом для поиска уязвимостей. За обнаружение уязвимостей на этих ресурсах мы гарантируем вознаграждение, соответствующее условиям данной программы:
ati.su
job.ati.su
trace.ati.su
userdata.ati.su
billing.ati.su
api.ati.su
help.ati.su
tm.ati.su
id.ati.su
d.ati.su
tenders.ati.su
trucks.ati.su
r1.ati.su
files.ati.su
loads.ati.su
faq.ati.su
about.ati.su
news.ati.su
adv.ati.su
chat.ati.su
academy.ati.su
zen.ati.su
IOS - "АТИ Грузы и Транспорт" версии 221 (2.17.0) и позднее
Android - "АТИ Грузы и Транспорт" версии 221 (2.17.0) и позднее
Хотя уязвимости можно искать и на других ресурсах, соответствующих маске *.ati.su, хотим подчеркнуть, что выплаты за такие находки мы не можем гарантировать. Отчеты об уязвимостях на дополнительных ресурсах будут рассматриваться индивидуально, исходя из критичности и значимости актива. Пожалуйста, учтите это при проведении тестов.
Какие уязвимости искать?
Наши основные интересы касаются критических уязвимостей на стороне сервера, но мы приветствуем отчеты о любых типах уязвимостей. Если у вас возникнут сомнения относительно релевантности обнаруженной проблемы, рекомендуем просмотреть наш список "Что не нужно присылать?". Если уязвимость не упоминается там, смело составляйте детальный отчет и отправляйте его нам.
Следующий перечень включает примеры уязвимостей, которые мы с интересом изучим и, при подтверждении, готовы вознаградить (пожалуйста, обратите внимание, что этот список не является исчерпывающим):
• Удаленное исполнение кода (RCE);
• Инъекции (SQL-инъекции или эквиваленты);
• Локальное/Удаленное включение файлов (LFI/RFI);
• Подделка запросов на стороне сервера (SSRF);
• Уязвимости бизнес-логики;
• Раскрытие или манипулирование чувствительными данными (IDOR, утечки памяти и т.д.);
• Захват аккаунта (зависит от сложности взаимодействия с пользователем);
• Уязвимости и недостатки механизмов аутентификации и авторизации;
• Cross-Site Scripting – XSS (зависит от уровня воздействия на пользователя);
• Обнаружение способов массовых несанкционированных отправок электронной почты через наш сайт с использованием идентификации сайта в целях спама и фишинга.
Что не нужно присылать?
• Возможность выполнить действие, недоступное через пользовательский интерфейс, без выявленных рисков безопасности;
• Раскрытие нечувствительной информации, такой как версия продукта, путь к файлу на сервере, трассировка стека и т.д.;
• Проблемы, никак не связанные с безопасностью (если вы обнаружите проблемы не связанные с безопасностью, направляйте их в техническую поддержку
bb@ati.su);
• Сообщения о возможных DDOS-атаках;
• Информацию об IP-адресах, DNS-записях и открытых портах;
• Раскрытие частных IP-адресов или доменов, указывающих на частные IP-адреса;
• Отчеты сканеров уязвимостей и других автоматизированных средств;
• Сообщения о публично доступных панелях входа;
• Clickjacking;
• Обход проверки на root и jailbreak;
• Сообщения о возможности обратной разработки мобильный приложений;
• Утечка конфиденциальных маркеров (например, маркера сброса пароля) доверенным третьим лицам по защищенному соединению (HTTPS);
• Ранее известные уязвимые библиотеки без рабочего доказательства концепции;
• Атаки, требующие MITM чужого соединения или физической близости с чужим устройством (например, атаки через NFC, Bluetooth, Wi-Fi и shoulder surfing);
• Маловероятные или теоретические атаки без доказательств возможности их осуществления.
• Отчеты без детального описания импакта
Что не претендует на вознаграждение, (и будет закрыто со статусом «информационный»)?
• Уязвимости, для которых требуются версии браузера, выпущенные за 6 и более месяцев (либо прекращена поддержка) до представления отчета;
• Self-XSS;
• XSS в непопулярных браузерах (Пример: IE, версии браузеров старше 6 месяцев);
• Flash-based XSS;
• XSS без воздействия на чувствительные данные;
• Ошибки в настройке CORS*;
• Использование устаревшего или потенциально уязвимого стороннего ПО*;
• Атаки, связанные с мошенничеством или кражей;
• Атаки типа DOS*;
• Небезопасно сконфигурированные TLS или SSL*;
• Разглашение информации о существовании в системе данного имени пользователя, email или номера телефона;
• Full Path Disclosure;
• Разглашение технической или нечувствительной информации* (например, версии продукта или используемого ПО, stacktrace);
• Отсутствие механизма защиты или лучших практик без демонстрации реального влияния на безопасность пользователя или системы* (например, HTTP заголовков безопасности, флагов безопасности cookie или защиты от CSRF);
• Open Redirect без дополнительного вектора атаки (например, кражи токена авторизации);
• Подмена контента на странице;
• Tabnabbing;
• Уязвимости, требующие выполнения сложного или маловероятного сценария взаимодействия с пользователем;
• Уязвимости, необходимым условием эксплуатации которых является наличие вредоносного ПО, root-прав или jailbreak на устройстве;
• Отсутствие лучших практик в конфигурации DNS и почтовых сервисов (DKIM/DMARC/SPF/TXT);
• Возможность отправлять электронные письма без контроля над содержанием без каких-либо ограничений;
• 0-day или 1-day уязвимости, официальный патч которой был менее двух недель назад, выплата награды осуществляется на усмотрение специалистов безопасности ATI.SU и рассматривается индивидуально в каждом конкретном случае;
• Неработающие ссылки на страницы социальных сетей или невостребованные ссылки в социальных сетях и подобные страницы;
• Возможность создавать учетные записи пользователей без каких-либо ограничений;
• Перечисление пользователей;
• Разглашение публичной информации о пользователях;
• Отсутствие уведомлений о важных действиях пользователя.
• Скриптинг в документах PDF
* — без детального описания вектора атаки и доказательств потенциального нанесения ущерба или вреда.
Что ВРЕМЕННО не претендует на вознаграждение, (и будет закрыто со статусом «информационный»)?
Что ВРЕМЕННО не претендует в Android и IOS приложениях на вознаграждение, (и будет закрыто со статусом «информационный»)?
• мы сознательно позволяем запускать приложение на root устройствах, отчеты по этому пункту не рассматриваются
• задача по реализации механизма SSL pinning у нас запланирована, отчеты по этому пункту не рассматриваются
• задача по переносу ключей сторонних сервисов в более надежные хранилища запланирована, отчеты по этому пункту пока не рассматриваются
• возможные crash/ANR приложения не рассматриваются в рамках данной программы
• задача про флаг cleartextTrafficPermitted в манифесте и использование http в webview в работе, отчеты по этому пункту не принимаются
• любые уязвимости связанные с токенами авторизации
Правила участия
· Участвуя в нашей Bug Bounty программе, вы подтверждаете, что прочитали и согласились с "Правилами Участия". Нарушение этих правил может привести к лишению права на вознаграждение или перманентному бану;
· Отчет, поданный действующим или бывшим сотрудником (до года с момента увольнения) ATI.SU, принимается без права претендовать на вознаграждение;
· Запрещена любая деятельность, которая может нанести ущерб приложениям компании, ее инфраструктуре, клиентам и партнерам (атаки типа "Отказ в обслуживании", а также физическое воздействие на инфраструктуру запрещены);
· Социальная инженерия (например, фишинг, вишинг, смайлинг) запрещена;
· Взаимодействуйте только с учетными записями, которые принадлежат вам или с явного разрешения владельца учетной записи. В случае если потребуются дополнительные воздействия на аккаунт, такие как повышение прав или начисление Атисов**, обратитесь к нам за помощью;
· Если в ходе эксплуатации был получен доступ к конфиденциальной информации, ее нельзя хранить, передавать или иным образом обрабатывать после первоначального обнаружения. Все копии конфиденциальной информации не подлежат хранению и должны быть возвращены в ati.su;
· Всегда ограничивайте эксплуатацию минимальным доказательством концепции, необходимым для демонстрации уязвимости;***
· Не пытайтесь получить доступ к учетным записям, данным ati.su или других пользователей или после эксплуатации других уязвимостей. Остановитесь, сообщите об обнаруженном и запросите разрешение на дополнительное тестирование;
· Для подтверждения наличия уязвимости используйте минимально возможный POC (Proof of Concept). В случае, если это может повлиять на других пользователей или же работоспособность системы, свяжитесь с нами для получения разрешения;
· Пользуйтесь правилами для демонстрации уязвимостей выполнения команд указанными ниже в программе.
· Присылайте отчёты только на русском языке.
** — Атис - внутренняя валюта сайта.
*** — В отдельных случаях команда безопасности может запросить дополнительные данные доказывающие уязвимость.
Идентификация трафика
Существует вероятность того, что трафик, сгенерированный внешними исследователями безопасности, может быть классифицирован как вредоносный. Для предотвращения возникновения связанных с данным фактом проблем, пожалуйста, добавляйте следующий HTTP заголовок ко всем исходящим запросам — X-Bug-Bounty: Username.
Политика тестирования RCE
Тестирование уязвимостей, которые могут приводить к удаленному исполнению кода, должно выполняться в соответствии с данными правилами:
Во время тестирования запрещены любые действия на сервере кроме:
• Выполнения команд ifconfig (ipconfig), hostname, whoami, id;
• Чтения содержимого файлов /etc/passwd и /proc/sys/kernel/hostname ("drive:/boot.ini, drive:/install.ini);
• Создания пустого файла в каталоге текущего пользователя.
При необходимости проведения иных действий необходимо предварительно согласовать их с нашими специалистами безопасности.
Политика тестирования SQL инъекций
Тестирование уязвимостей, которые могут приводить к внедрению команд SQL, должно выполняться в соответствии с данными правилами:
Во время тестирования запрещены любые действия на сервере кроме:
• Получения данных о текущей БД (SELECT database()), ее версии (SELECT @@version), текущего пользователя (SELECT user(), SELECT system_user()) или имени хоста (SELECT @@hostname);
• Получения схемы БД (SELECT table_schema), списка таблиц в ней (SELECT table_name) и имен столбцов в таблицах (SELECT column_name);
• Выполнения математических, конверсионных или логических запросов (включая использование SLEEP) без извлечения данных (кроме тех, что перечислены выше).
При необходимости проведения иных действий необходимо предварительно согласовать их с нашими специалистами безопасности.
Политика загрузки и чтения файлов
Тестирование уязвимостей, которые могут приводить к чтению произвольных файлов на сервере или произвольной загрузке файлов, должно выполняться в соответствии с данными правилами:
Запрещенные действия при загрузке файлов:
• Изменение, модификация, удаление и замена любых файлов на сервере (включая системные), кроме тех, что ассоциированы с вашей учетной записью либо с учетной записью пользователя, который явно выразил свое согласие;
• Загрузка файлов, которые могут вызвать отказ в обслуживании (например, файлов большого размера);
• Загрузка вредоносных файлов (например, малвари или шпионского ПО).
При получении возможности чтения произвольных файлов на сервере запрещены любые действия кроме чтения таких файлов, как /etc/passwd и /proc/sys/kernel/hostname ([drive:/boot.ini, drive:/install.ini). При необходимости проведения иных действий необходимо предварительно согласовать их с нашими специалистами безопасности.
Вознаграждения за уязвимости
Мы выплачиваем вознаграждения внешним исследователям безопасности только за обнаружение ранее неизвестных проблем при выполнении всех "Правил участия".
Все отчеты об уязвимостях рассматриваются индивидуально в зависимости от критичности системы, в который обнаружена уязвимость, и критичности самой уязвимости.
Уязвимость | Вознаграждение |
---|
Critical | 120 000–250 000 ₽ |
High | 20 000–120 000 ₽ |
Medium | 5 000–20 000 ₽ |
Low | 0–5 000 ₽ |
Определение критичности уязвимости
Мы оставляем за собой право принимать окончательное решение в отношении серьезности найденной уязвимости. После получения отчета мы проводим внутреннее расследование и определяем степень критичности, учитывая множество факторов, в том числе:
• Уровень привилегий, необходимый для реализации атаки;
• Трудность обнаружения и эксплуатации;
• Наличие требования взаимодействия с пользователем;
• Влияние на целостность, доступность и конфиденциальность затронутых данных;
• Влияние на бизнес-риски и репутационные риски;
• Количество затронутых пользователей.
• Обратите внимание, что наш сайт использует два типа аккаунтов: подтвержденные и неподтвержденные (подробная информация
здесь). В рамках данной программы уязвимости, связанные с неподтверждёнными аккаунтами, мы оцениваем по сниженному коэффициенту, поскольку на них не распространяются некоторые меры безопасности.
Примечания
• Почта для связи:
BB@ati.su.
• Вознаграждение выплачивается только в случае, если наши специалисты безопасности проверят, что все условия выполнены и выявленная уязвимость является значимой.
• Размер выплаченной награды является окончательным и не подлежит обсуждению.
FAQ
Как составить хороший отчет?
Один отчет должен описывать одну уязвимость. Исключением являются те случаи, когда уязвимости либо связаны между собой, либо их можно скомбинировать в цепочку.
Хороший отчет об уязвимости должен включать в себя следующие составляющие:
• Описание уязвимости;
• Шаги воспроизведения;
• Анализ критичности;
• Четкое описание импакта
• Рекомендации по устранению.
В отчете также должны содержаться:
• URL уязвимого приложения;
• Тип обнаруженной уязвимости;
• Скриншоты или видеозапись, подтверждающие наличие уязвимости и демонстрирующие шаги воспроизведения;
• Пример форматированного запроса из BurpSuite (или любой другой POC);
• В некоторых случаях куски кода.
Несоблюдение минимальных требований может привести к снижению суммы вознаграждения. Если в отчете недостаточно данных, чтобы проверить наличие уязвимости, выплата вознаграждения не осуществляется.
Вся информация о найденной уязвимости (включая вложения) должна храниться только в отчете, который вы отправляете. Не размещайте ее на внешних ресурсах.
Как осуществляется работа с дубликатами?
Мы выплачиваем вознаграждение только за первый полученный отчет (при условии, что он содержит всю необходимую информацию для воспроизведения уязвимости). Любые последующие отчеты, затрагивающие ту же уязвимость, будут помечены как дублирующие. Отчеты, содержащие схожие векторы атак также могут считаться дублирующими, в случае если команда безопасности считает, что информации из одного отчета достаточно для исправления всех зарегистрированных векторов атак или ошибок. Отчет может быть дубликатом отчета другого исследователя или отчета внутренней команды безопасности.