EN

Битрикс24

Company: Битрикс24
Битрикс24 – набор полезных инструментов для бизнеса. Битрикс24 включает в себя CRM, менеджер задач, корпоративную социальную сеть ,чаты и видеозвонки, облачное хранилище, онлайн-документы, автоматизированные бизнес-процессы и еще много других важных элементов для роста вашего бизнеса.
Rewards are paid to individual entrepreneurs and self-employed persons
Only citizens of the following countries can participate: Russia
Program description

Правила для нас

  • Мы отвечаем в течение 15 рабочих дней.
  • Мы обрабатываем отчеты в течение 30 рабочих дней после ответа.
  • Мы можем увеличить сроки обработки отчетов, но в таком случае мы проинформируем вас о задержке.
  • Мы определим сумму вознаграждения в течение 30 рабочих дней после обработки.
  • Мы сделаем все возможное, чтобы в процессе обработки отчета вы были в курсе нашего прогресса.

Правила для вас

  • Будьте этичным хакером и уважайте конфиденциальность других пользователей.
  • Старайтесь избегать нарушений конфиденциальности, уничтожения данных, а также прерывания или ухудшения качества наших услуг.
  • Если вы проводите исследование веб-ресурсов и API, обязательно указывайте в HTTP-заголовке User-Agent X-BugBounty со значением your_username, это поможет избежать потенциальной блокировки аномальной активности.
  • Если вы проводите исследование Портала Битрикс24, при регистрации учетной записи для тестирования в поле «Фамилия» используйте слово Standoff, это поможет избежать потенциальной блокировки учетной записи.
  • Инструменты автоматического сканирования должны быть ограничены 30 запросами в секунду к одному целевому узлу, суммируя все инструменты и потоки, работающие параллельно.
  • Перед началом исследований ознакомьтесь с правилами, указанными в этой программе
  • Если при исследовании Портала Битрикс24 вы обнаружили несколько проблем безопасности, подготовьте отчеты о каждой из выявленных уязвимостей отдельно.
 

Размеры вознаграждений в зависимости от уровней критичности:

Критический 150 000
Высокий 75 000
Средний 40 000
Низкий 10 000
Отсутствует 0

Область действия программы:

Портал Битрикс24- bitrix24.ru, в том числе <уникальный_домен>.bitrix24.ru, который можно зарегистрировать по ссылке https://auth2.bitrix24.net/create/
Все остальные ресурсы, в том числе использующие инструменты Битрикс24, находятся вне области действия программы и будут закрыты как «Вне скоупа».

Битрикс24 не выплачивает вознаграждение за:

  • Отчеты сканеров безопасности и других автоматизированных инструментов.
  • Информацию об IP-адресах, DNS-записях и открытых портах.
  • Проблемы и уязвимости, которые основаны на версии используемого продукта, без демонстрации их эксплуатации.
  • Уязвимости, эксплуатацию которых блокируют СЗИ, без демонстрации обхода СЗИ (например, WAF).
  • Отчеты о небезопасных шифрах SSL и TLS без демонстрации их эксплуатации.
  • Уязвимости, информацию о которых ранее передали другие участники конкурса (дубликаты отчетов).
  • Уязвимости 0-day и 1-day, о которых стало публично известно менее 30 дней назад, и уязвимости с CVSS выше 8, о которых стало известно менее 14 дней назад.
  • Self-XSS и другие уязвимости, напрямую не влияющие на пользователей или данные приложения.
  • Уязвимости, для которых требуются версии браузера, выпущенные за 6 и более месяцев (либо прекращена поддержка) до представления отчета.
  • Ошибки в настройке CORS без демонстрации их эксплуатации.
  • Разглашение информации о существовании в системе данного имени пользователя, email или номера телефон.
  • Разглашение технической или нечувствительной информации (например, версии продукта или используемого ПО, stacktrace).
  • Tabnabbing.
  • Clickjacking.
  • Отчеты, связанные с CSP, для доменов без CSP и доменных политик с небезопасными eval и/или небезопасными inline.
  • Атаки, требующие полного доступа к локальной учетной записи или профилю браузера.
  • Раскрытие конфиденциальной информации пользователей через внешние ресурсы, не контролируемые Битрикс24, например данные со шпионского ПО.
  • Уязвимости, требующие выполнения сложного или маловероятного сценария взаимодействия с пользователем.
  • Отсутствие лучших практик в конфигурации DNS и почтовых сервисов (DKIM/DMARC/SPF/TXT).
  • Неработающие ссылки на страницы социальных сетей или невостребованные ссылки в социальных сетях и подобные страницы.
  • Возможность выполнить действие, недоступное через пользовательский интерфейс, без выявленных рисков безопасности.
  • Возможность создавать учетные записи пользователей без каких-либо ограничений.
  • Перечисление пользователей.
  • Разглашение публичной информации о пользователях.
  • Отсутствие уведомлений о важных действиях пользователя.
  • Утечка конфиденциальных маркеров (например, маркера сброса пароля) доверенным третьим лицам по защищенному соединению (HTTPS).
  • Отчеты, связанные с безопасностью мобильных приложений Битрикс24.
  • Проблемы, никак не связанные с безопасностью (если вы обнаружите проблемы, не связанные с безопасностью, направляйте их в техническую поддержку: https://helpdesk.bitrix24.ru/.
  • Отсутствие механизма защиты или лучших практик без демонстрации реального влияния на безопасность пользователя или системы (такие отчеты принимаются как информативные), например: отсутствие HTTP-заголовков безопасности (CSP, HSTS и т. д.), флагов безопасности cookie (HttpOnly, Secure и т. д.) или защиты от CSRF, SSL-сертификатов.
Битрикс24 обязуется не выдвигать исследователям необоснованные обвинения, связанные с участием в программе.

Публичное раскрытие информации об уязвимости

Публичное раскрытие информации об уязвимостях не допускается
Требования к участникам:
Участвовать в программе могут только исследователи - граждане Российской Федерации, являющие самозанятыми или индивидуальными предпринимателями.
Исследователи в возрасте от 14 до 18 лет имеют право участвовать в программе только при наличии письменного согласия родителей или законного представителя.

Недопустимые действия

Исследователям запрещено:
  • Получать доступ к данным другого пользователя без его согласия, изменять и уничтожать их, а также раскрывать любую конфиденциальную информацию, случайным образом полученную в ходе поиска уязвимостей или их демонстрации. Преднамеренный доступ к этой информации запрещен и может быть признан незаконным.
  • Воздействовать на учетные записи других пользователей без их разрешения.
  • Использовать обнаруженную уязвимость в личных целях.
  • Использовать инструменты тестирования уязвимостей, автоматически генерирующие значительные объемы трафика и приводящие к атакам с исчерпанием ресурсов.
  • Проводить атаки, наносящие вред целостности и доступности сервисов (например, DoS-атаки, брутфорс-атаки), пытаться эксплуатировать уязвимость, нацеленную на исчерпание ресурсов. Следует сообщить о проблеме команде по безопасности Битрикс24, которая проведет атаку в тестовой среде.
  • Проводить физические атаки на персонал, дата-центры и офисы компании.
  • Проводить атаки на системы Битрикс24 с использованием техник социальной инженерии (фишинг, вишинг и т. д.) и спам-рассылок клиентам, партнерам и сотрудникам.
  • Исследовать серверную инфраструктуру, где размещены веб-приложения.
  • Разглашать сведения об уязвимости до их публичного раскрытия Битрикс24.

Политика тестирования RCE

Тестирование уязвимостей, которые могут приводить к удаленному исполнению кода, должно выполняться в соответствии с изложенными ниже правилами.
Во время тестирования запрещены любые действия на сервере кроме:
  • Выполнения команд ifconfig (ipconfig), hostname, whoami, id
  • Чтения содержимого файлов /etc/passwd и /proc/sys/kernel/hostname (drive:/boot.ini, drive:/install.ini)
  • Создания пустого файла в каталоге текущего пользователя
При необходимости проведения иных действий необходимо предварительно согласовать их с нашими специалистами безопасности.

Политика тестирования SQL-инъекций

Тестирование уязвимостей, которые могут приводить к внедрению команд SQL, должно выполняться в соответствии с изложенными ниже правилами.
Во время тестирования запрещены любые действия на сервере кроме:
  • Получения данных о текущей БД (SELECT database()), ее версии (SELECT @@version), текущего пользователя (SELECT user(), SELECT system_user()) или имени хоста (SELECT @@hostname)
  • Получения схемы БД (SELECT table_schema), списка таблиц в ней (SELECT table_name) и имен столбцов в таблицах (SELECT column_name)
  • Выполнения математических, конверсионных или логических запросов (включая использование SLEEP) без извлечения данных (кроме тех, что перечислены выше)
При необходимости проведения иных действий необходимо предварительно согласовать их с нашими специалистами безопасности.

Политика загрузки и чтения файлов

Тестирование уязвимостей, которые могут приводить к чтению произвольных файлов на сервере или произвольной загрузке файлов, должно выполняться в соответствии с изложенными ниже правилами.
Запрещенные действия при загрузке файлов:
  • Изменение, модификация, удаление и замена любых файлов на сервере (включая системные), кроме тех, что ассоциированы с вашей учетной записью либо с учетной записью пользователя, который явно выразил свое согласие;
  • Загрузка файлов, которые могут вызвать отказ в обслуживании (например, файлов большого размера);
  • Загрузка вредоносных файлов (например, малвари или шпионского ПО).
При получении возможности чтения произвольных файлов на сервере запрещены любые действия кроме чтения таких файлов, как /etc/passwd и /proc/sys/kernel/hostname (drive:/boot.ini, drive:/install.ini). При необходимости проведения иных действий необходимо предварительно согласовать их с нашими специалистами.
Launched July 11, 2024
Edited 07:50
Program format
Vulnerabilities
Reward for vulnerabilities
by severity level
Critical
₽75K–150K
High
₽40K–75K
Medium
₽10K–40K
Low
₽0–10K
None
₽0–0
Excl. tax
Top hackers
Overall ranking
The ranking is still empty
Program statistics
₽760,000
Paid in total
₽36,190
Average payment
₽40,000
Paid in the last 90 days
40
Valid reports
42
Submitted reports
Description
Vulnerabilities
Ranking
Versions