Скоуп:
Так же в скоупе, но с максимальным вознаграждением в 7000 рублей:
- konsol.team
- vpn.konsol.pro
- konsol.pro
Не входит в скоуп:
Идентификация СЗИ:
- Во избежание классификации сгенерированного пользователем трафика как вредоносного и предотвращения связанных с этим проблем необходимо добавлять HTTP-заголовок ко всем исходящим запросам:
X-Bug-Bounty
: username
.
Правила вознаграждения
Мы оцениваем уязвимости в индивидуальном порядке с учетом VRT и нашей экспертизы. Уровень опасности уязвимости может быть понижен или повышен в зависимости от потенциального ущерба при проведении атаки.
Принципал оставляет за собой право принимать окончательное решение в отношении опасности найденной уязвимости.
Максимальные выплаты подразумеваются только за обнаружение проблем в сервисах, перечисленных в пункте «Область действия программы», то есть входящих в основную область действия программы.
Все остальные ресурсы имеют пониженный (в некоторых случаях нулевой) коэффициент для назначения вознаграждения.
Уязвимости, за нахождение которых вознаграждение не выплачивается:
- Self-XSS, XSS в непопулярных или устаревших браузерах, Flash-based XSS.
- CSRF и XSS без воздействия на чувствительные данные.
- Отсутствие рекомендованных механизмов защиты* (например, HTTP-заголовков, флагов безопасности куки или защиты от CSRF).
- Ошибки в настройке CORS*.
- Использование устаревшего или потенциально уязвимого стороннего ПО*.
- Атаки, связанные с мошенничеством или кражей.
- Возможность неограниченной отправки SMS-сообщений и сообщений эл. почты.
- Атаки типа DoS*.
- Небезопасно сконфигурированные TLS или SSL*.
- Разглашение информации о существовании в системе имени пользователя, адреса эл. почты или номера телефона.
- Full Path Disclosure.
- Разглашение технической или нечувствительной информации* (например, версии продукта или используемого ПО, stack trace).
- Open redirect без дополнительного вектора атаки (например, кражи токена авторизации).
- Подмена контента на странице.
- Tabnabbing.
- Уязвимости, требующие выполнения сложного или маловероятного сценария взаимодействия с пользователем.
- Уязвимости, необходимым условием эксплуатации которых является наличие вредоносного ПО, root-прав или jailbreak на устройстве.
- Атаки, требующие MITM чужого соединения или физической близости с чужим устройством (например, атаки через NFC, Bluetooth, Wi-Fi и shoulder surfing).
- Маловероятные или теоретические атаки без доказательств возможности их проведения.
- Без детального описания вектора атаки и доказательств потенциального нанесения ущерба или вреда.
Не рассматриваются отчеты, содержащие следующую информацию
- Сообщения об уязвимостях в сервисах, не относящихся к экосистеме Konsol.PRO.
- Проблемы, не связанные с безопасностью.
- Сообщения о возможных DDoS-атаках.
- Информация об IP-адресах, DNS-записях и открытых портах.
- Сообщения о применении фишинга и других техник социальной инженерии.
- Сообщения о публично доступных панелях входа.
- Разглашение публичной информации о пользователях.
- Сообщения о недостатках использования четырехсимвольных SMS-кодов.
- Сведения об обходе проверки на root и jailbreak.
- Сообщения о возможности обратной разработки мобильных приложений.
- Сообщения от сканеров безопасности и других средств автоматического сканирования.
- Сообщения об уязвимости без демонстрации ее реального существования.
- Сообщения об уязвимости без указания на достоверно возможные негативные последствия ее эксплуатации.
- Сообщения об отсутствии заголовков безопасности.
- Clickjacking отчеты, основанные на отсутствии HTTP-заголовков. Для рассмотрения Clickjacking отчета необходимо предоставить корректный PoC и сценарий атаки с описанием негативных последствий ее реализации.
- Сообщения об отсутствии лучших практик безопасности.
- Атаки, требующие MITM или физический доступ к устройству пользователя.
- Уязвимости, которые затрагивают только пользователей устаревших или уязвимых браузеров и платформ.
- Уязвимости, которыми можно навредить только самому себе.
Правила тестирования
- Для проведения тестирования пользователям необходимо использовать собственные учетные записи либо учетные записи пользователей, которые явно выразили свое согласие на такие действия.
- Составляйте подробные отчеты с рабочими шагами для воспроизведения сценария атаки. Если отчет оформлен недостаточно подробно, чтобы воспроизвести проблему, пользователь может быть лишен права на получение вознаграждения.
- Чтобы подтвердить наличие уязвимости, необходимо представить минимально возможный POC (proof of concept). Если это может повлиять на других пользователей или же на работоспособность системы, свяжитесь с принципалом для получения разрешения.
Дальнейшая эксплуатация уязвимостей строго запрещена.
- Не проводите автоматизированный перебор, атаки типа «отказ в обслуживании» (DoS- и DDoS-атаки), не отправляйте спам нашим пользователям, не используйте методы социальной инженерии и фишинг, направленные на наших сотрудников и подрядчиков.
- Обращения в техподдержку и отправка любых форм, которые будут обработаны людьми, строго запрещены.
- В случае дубликата мы наградим только пользователя, приславшего первый отчет об уязвимости (если описанный им сценарий полностью воспроизводится).
- Решение известных нам проблем, находящихся в процессе исправления, не претендует на вознаграждение.
- Никому не сообщайте информацию о найденной уязвимости без нашего разрешения.
- Публичные 0-day-уязвимости с официальным патчем, выпущенным менее двух месяцев назад, могут рассматриваться как дубликаты, если они известны нашей команде из общедоступных источников.
- Во время поиска уязвимостей следует избегать нарушения конфиденциальности, целостности и доступности информации в сервисах принципала.
- Запрещена любая деятельность, которая может нанести ущерб приложениям компании, ее инфраструктуре, клиентам и партнерам.
Примеры запрещенных действий: социальная инженерия, фишинг, атаки типа «отказ в обслуживании», физическое воздействие на инфраструктуру.
- Автоматическое сканирование должно быть ограничено пятью запросами в секунду.
Политика тестирования RCE
Тестирование уязвимостей, которые могут приводить к удаленному исполнению кода, должно выполняться в соответствии с этой политикой.
Во время тестирования запрещены любые действия на сервере, кроме:
- выполнения команд ifconfig (ipconfig), hostname, whoami;
- чтения содержимого файлов /etc/passwd и /proc/sys/kernel/hostname (drive:/boot.ini, drive:/install.ini);
- создания пустого файла в каталоге текущего пользователя.
При необходимости проведения иных действий необходимо предварительно согласовать их с Принципалом.
Политика тестирования SQL-инъекций
Тестирование уязвимостей, которые могут приводить к внедрению команд SQL, должно выполняться в соответствии с этой политикой.
Во время тестирования запрещены любые действия на сервере, кроме:
- получения данных о текущей БД (SELECT database()), ее версии (SELECT @@version), текущем пользователе (SELECT user(), SELECT system_user()) или имени узла (SELECT @@hostname);
- получения схемы БД (SELECT table_schema), списка таблиц в ней (SELECT table_name) и имен столбцов в таблицах (SELECT column_name);
- выполнения математических, конверсионных или логических запросов (включая использование SLEEP) без извлечения данных (кроме тех, что перечислены выше).
При необходимости проведения иных действий необходимо предварительно согласовать их с принципалом.
Политика загрузки и чтения файлов
Тестирование уязвимостей, которые могут приводить к чтению произвольных файлов на сервере или произвольной загрузке файлов, должно выполняться в соответствии с этой политикой
Запрещенные действия при загрузке файлов:
- Изменение, модификация, удаление и замена любых файлов на сервере (включая системные), кроме тех, что ассоциированы с вашей учетной записью либо с учетной записью пользователя, который явно выразил свое согласие.
- Загрузка файлов, которые могут вызвать отказ в обслуживании (например, файлов большого размера).
- Загрузка вредоносных файлов (например, малвари или шпионского ПО).
При получении возможности чтения произвольных файлов на сервере запрещены любые действия, кроме чтения таких файлов, как /etc/passwd и /proc/sys/kernel/hostname (drive:/boot.ini, drive:/install.ini).
При необходимости проведения иных действий необходимо предварительно согласовать их c триажером.
Требования к отчету
Один отчет должен описывать одну уязвимость. Исключения — те случаи, когда уязвимости либо связаны между собой, либо их можно скомбинировать в цепочку.
Отчет об уязвимости должен включать:
- Описание уязвимости.
- Шаги воспроизведения.
- Анализ опасности.
- Рекомендации по устранению.
В отчете также должны содержаться:
- URL уязвимого приложения.
- Тип обнаруженной уязвимости.
- Скриншоты или видеозапись, подтверждающие наличие уязвимости и демонстрирующие шаги ее воспроизведения.
- Пример форматированного запроса из Burp Suite (или любой другой PoC).
- Фрагменты кода (в некоторых случаях).