Скоуп

Для корректной работы необходимо добавить в /etc/hosts:

maxpatrol-bb.standoff365.com 185.71.53.248

• MP SIEM + VM 26.2. Для удобства доступен стенд по адресу https://maxpatrol-bb.standoff365.com:3334 и https://maxpatrol-bb.standoff365.com:443.
• Для MP SIEM + VM доступна документация https://help.ptsecurity.com/projects/siem/8.1/ru-RU/help/93816075, https://help.ptsecurity.com/projects/vm/2.1/ru-RU/help/93816075

Наиболее интересны уязвимости, связанные с обходом аутентификации.

Требования к участникам

• Участвовать в программе могут все заинтересованные исследователи в возрасте от 18 лет.
• Исследователи в возрасте от 14 до 18 лет имеют право участвовать в программе только при наличии письменного согласия родителей или законного представителя.

Исследователям необходимо:

• Соблюдать правила, которые устанавливает Positive Technologies в своей программе по раскрытию уязвимостей, а также правила платформы The Standoff 365 Bug Bounty.
• Соблюдать правила конфиденциальности информации. Запрещено получать доступ к данным другого пользователя без его согласия, изменять и уничтожать их, а также раскрывать любую конфиденциальную информацию, случайным образом полученную в ходе поиска уязвимостей или их демонстрации. Преднамеренный доступ к этой информации запрещен и может быть признан незаконным.
• Поддерживать общение с командой по безопасности, направлять ей отчеты о выявленных уязвимостях, оформленные согласно требованиям, и давать обратную связь, если у специалистов возникнут
  вопросы об отчете.
• Не разглашать информацию об уязвимости раньше срока. Рекомендуется оперативно сообщать о выявленной уязвимости. Запрещено разглашать сведения об уязвимости до их публичного раскрытия Positive Technologies или до истечения установленного срока.

Обязанности Positive Technologies

Positive Technologies обязуется:

• Отдавать приоритет задачам безопасности, оперативно подходить к устранению обнаруженных уязвимостей.
• Не выдвигать исследователям необоснованные обвинения, связанные с участием в конкурсе.

Публичное раскрытие информации об уязвимости

Публичное раскрытие по взаимному согласию. Если обе стороны не против раскрытия, детали отчета раскрываются. Взаимное согласие должно быть дано в комментариях к отчету. До получения взаимного согласия разглашение не допускается.

Недопустимые действия

Исследователям запрещено:

• Воздействовать на учетные записи других пользователей без их разрешения.
• Использовать обнаруженную уязвимость в личных целях.
• Использовать инструменты тестирования уязвимостей, автоматически генерирующие значительные объемы трафика и приводящие к атакам с исчерпанием ресурсов.
• Проводить атаки, наносящие вред целостности и доступности сервисов (например, DoS-атаки, брутфорс-атаки и т. д.), пытаться эксплуатировать уязвимость, нацеленную на исчерпание ресурсов.
• Следует сообщить о проблеме команде по безопасности Positive Technologies, которая проведет атаку в тестовой среде.
• Проводить физические атаки на персонал, дата-центры и офисы компании.
• Проводить атаки на системы Positive Technologies с использованием техник социальной инженерии (фишинг, вишинг и т. д.) и спам-рассылок клиентам, партнерам и сотрудникам.
• Исследовать серверную инфраструктуру, где размещены веб-приложения.

Вознаграждения за уязвимости

 
Размер вознаграждения за уязвимости, найденные в используемом компанией ПО сторонних производителей (например, opensource-библиотеках), оценивается по минимальной границе, но может быть увеличен по решению конкурсной комиссии. Все остальные уязвимости, не указанные в списке, могут быть оплачены по решению комиссии в зависимости от их уровня опасности (но вознаграждение не гарантируется).

Positive Technologies не выплачивает вознаграждение:

• за отчеты сканеров безопасности и других автоматизированных инструментов;
  -раскрытие несекретной информации (наименования ПО или его версии, технические параметры и метрики системы и пр.);
• информацию об IP-адресах, DNS-записях и открытых портах;
• проблемы и уязвимости, которые основаны на версии используемого продукта, без демонстрации их эксплуатации;
• уязвимости, эксплуатацию которых блокируют СЗИ, без демонстрации обхода СЗИ;
• отчеты о небезопасных шифрах SSL и TLS без демонстрации их эксплуатации;
• отчеты об отсутствии SSL и других лучших практик (best current practices);
• уязвимости, информацию о которых ранее передали другие участники конкурса (дубликаты отчетов);
• уязвимости 0-day или 1-day, информация о которых получена командой по безопасности из открытых источников
• уязвимости к атаке перебором, если в отчете не описан метод, имеющий существенно более высокую эффективность, чем прямой перебор
• обход правил обнаружения атак

Требования к оформлению отчета

Отчет об уязвимости должен содержать:

• Название уязвимости.
• Название продукта и версию затрагиваемого ПО (компонента).
• Проверку концепции (proof of concept) или подробное описание обнаруженной уязвимости и шагов по ее воспроизведению.
• Описание сценария атаки: кто может использовать уязвимость, для какой выгоды, как она эксплуатируется и т. д.
• Рекомендации по устранению уязвимости.

 


Видео и скриншоты могут быть приложены к отчету об ошибке, но не могут его заменить.

Если при исследовании сервисов компании вы обнаружили несколько проблем безопасности, подготовьте отчеты о каждой из выявленных уязвимостей отдельно.

Передача информации об обнаруженной уязвимости происходит согласно правилам платформы.