Правила для нас
- Мы уважаем время и усилия наших исследователей;
- Мы отвечаем в течение 5 рабочих дней;
- Мы обрабатываем отчеты в течение 15 рабочих дней после ответа;
- Мы можем увеличить сроки обработки отчетов, но в таком случае мы проинформируем вас о задержке;
- Мы определим сумму вознаграждения в течение 15 рабочих дней после обработки;
- Мы сделаем все возможное, чтобы в процессе обработки отчета вы были в курсе нашего прогресса.
Правила для вас
- Будьте этичным хакером и уважайте конфиденциальность других пользователей;
- Избегайте нарушений конфиденциальности, уничтожения данных, а также прерывания или ухудшения качества наших сервисов;
- Инструменты автоматического сканирования должны быть ограничены 70 запросами в секунду к одному целевому узлу, суммируя все инструменты и потоки, работающие параллельно;
- Перед началом исследований ознакомьтесь с правилами участия и тестирования, указанными в этой программе;
Область действия Bug Bounty:
- npktrans.ru,
- *.npktrans.ru.
Ограничения области действия Bug Bounty:
Мы не принимаем и не рассматриваем отчеты о следующий проблемах:
- Возможность выполнить действие, недоступное через пользовательский интерфейс, без выявленных рисков безопасности;
- Раскрытие нечувствительной информации, такой как версия продукта, путь к файлу на сервере, трассировка стека и т.д.;
- Сообщения о возможных DDOS-атаках;
- Раскрытие частных IP-адресов или доменов, указывающих на частные IP-адреса;
- Отчеты сканеров уязвимостей и других автоматизированных средств;
- Сообщения о публично доступных панелях входа;
- Clickjacking;
- Утечка конфиденциальных маркеров (например, маркера сброса пароля) доверенным третьим лицам по защищенному соединению (HTTPS);
- Ранее известные уязвимые библиотеки без рабочего доказательства концепции;
- Маловероятные или теоретические атаки без доказательств возможности их осуществления.
Мы рассматриваем отчеты как информативные, если:
- Уязвимости, для которых требуются версии браузера, выпущенные за 6 и более месяцев (либо прекращена поддержка) до представления отчета;
- Self-XSS;
- XSS в непопулярных браузерах (Пример: IE, версии браузеров старше 6 месяцев);
- Flash-based XSS;
- XSS без воздействия на чувствительные данные;
- Ошибки в настройке CORS*;
- Атаки типа DOS*;
- Небезопасно сконфигурированные TLS или SSL*;
- Full Path Disclosure;
- Разглашение технической или нечувствительной информации* (например, версии продукта или используемого ПО, stacktrace);
- Отсутствие механизма защиты или лучших практик без демонстрации реального влияния на безопасность пользователя или системы* (например, HTTP заголовков безопасности, флагов безопасности cookie или защиты от CSRF);
- Open Redirect без дополнительного вектора атаки (например, кражи токена авторизации);
- Подмена контента на странице;
- Tabnabbing;
- Уязвимости, требующие выполнения сложного или маловероятного сценария взаимодействия с пользователем;
- Отсутствие лучших практик в конфигурации DNS и почтовых сервисов (DKIM/DMARC/SPF/TXT);
- Возможность отправлять электронные письма без контроля над содержанием без каких-либо ограничений;
- 0-day или 1-day уязвимости, официальный патч которой был менее трех недель назад, выплата награды осуществляется на усмотрение специалистов безопасности НПК и рассматривается индивидуально в каждом конкретном случае;
- Неработающие ссылки на страницы социальных сетей или невостребованные ссылки в социальных сетях и подобные страницы;
* без детального описания вектора атаки и доказательств потенциального нанесения ущерба или вреда.
Оформление отчетов
Отчет об уязвимости должен содержать:
- Название уязвимости;
- Название продукта и версию затрагиваемого ПО (компонента);
- Проверку концепции (proof of concept) и подробное описание обнаруженной уязвимости и шагов по ее воспроизведению (скриншоты, видео, фрагменты кода, примеры запросов);
- Описание сценария атаки: кто может эксплуатировать уязвимость, как она эксплуатируется и т. д;
- Рекомендации по устранению уязвимости.
Для каждой найденной уязвимости мы просим вас создать новый отчет. Однако, если вы хотите описать воспроизведение атаки, для реализации которой необходима эксплуатация ряда проблем, вы можете описать их в рамках одного отчета. В таком случае мы просим вас уделить особое внимание оформлению, и отметить, сколько уязвимостей каких классов вы обнаружили.
ПРАВИЛА
Правила для исследователей
- Будьте этичными в своих действиях: мы просим всех участников соблюдать законы и правила, связанные с информационной безопасностью;
- Перед началом работы ознакомьтесь с правилами программы: соблюдайте наши условия;
- Проводите поиск проблем только в тех системах, которые попадают в скоуп программы: тестирование других систем НПК запрещено;
- Документируйте свои действия максимально четко и подробно: для проверки вашего отчета нам нужна вся информация, которой вы располагаете;
- Сохраняйте конфиденциальность: мы допускаем обмен информацией по найденным проблемам только с организаторами программы;
- Сотрудничайте с нашей командой безопасности: предоставляйте дополнительную информацию и обратную связь после исправления найденных вами уязвимостей;
- Уважайте и принимайте решения нашей команды: в случае, если вы не согласны с мнением наших специалистов, будьте вежливы и объясните, в чем наша ошибка, используя доказательства;
- Мы награждаем исследователей в соответствии с правилами данной программы: окончательное решение о вознаграждении и объеме принимается командой безопасности.
Запрещенные действия
В случае, если вы будете проводить исследования, прибегая к запрещенным методам и инструментам, мы оставляем за собой право лишить вас вознаграждения или исключить из программы. Таким образом, нарушение правил грозит вам лишением награды, которое вы могли бы получить за свою работу, или исключением из данной и любых других программ НПК без возможности восстановления.
- Запрещено использование методов социальной инженерии, в том числе: фишинга, вишинга, смишинга, и др.;
- Физические атаки на компанию и ее инфраструктуру запрещены;
- Запрещено использование чужих аккаунтов: взлом и проникновение в учетные записи пользователей без их согласия недопустимо;
- При получении доступа к конфиденциальной информации запрещено ее копирование, хранение и передача: все копии, сделанные вами в процессе тестировки, должны быть удалены;
- Эксплуатация уязвимостей после завершения работ по тестированию запрещена;
- Используйте базовые команды для демонстрации эксплуатации обнаруженной вами уязвимости: атаки, направленные на вывод систем из работы (например, DDoS) запрещены.
Правила тестирования
При тестировании обнаруженных проблем, мы просим вас придерживаться следующих правил:
- Используйте только собственные учетные записи;
- Не нарушайте конфиденциальность, целостность и доступность информации в наших сервисах во время тестирования;
- Не совершайте действия, которые могут нанести ущерб компании, ее инфраструктуре, клиентам и партнерам;
- Используйте базовые команды для POC или другие минимальные доказательства наличия уязвимости в системе;
- Свяжитесь с нами, если вы понимаете, что для дальнейшего тестирования вам необходимо нарушить эти правила.
Правила раскрытия информации
- Отправляйте отчеты только через форму на платформе;
- Не раскрывайте информацию о найденной вами уязвимости публично без разрешения команды безопасности.
В случае нарушения данных правил, мы будем вынуждены исключить вас из списка участников данной и любых других программ НПК, а также принять меры, соответствующие УК РФ.
Вознаграждение
Мы выплачиваем вознаграждения внешним исследователям безопасности только за обнаружение ранее неизвестных проблем при выполнении всех "Правил участия" согласно блоку «Награда за уязвимости».
Все отчеты об уязвимостях рассматриваются индивидуально в зависимости от критичности системы, в который обнаружена уязвимость, и критичности самой уязвимости.
Определение критичности уязвимости
Мы оставляем за собой право принимать окончательное решение в отношении серьезности найденной уязвимости. После получения отчета мы проводим внутреннее расследование и определяем степень критичности, учитывая множество факторов, в том числе:
- Уровень привилегий, необходимый для реализации атаки;
- Трудность обнаружения и эксплуатации;
- Наличие требования взаимодействия с пользователем;
- Влияние на целостность, доступность и конфиденциальность затронутых данных;
- Влияние на бизнес-риски и репутационные риски;
- Количество затронутых пользователей.
Правила работы с дубликатами
Мы вознаграждаем только первый полученный отчет, который содержит все необходимые сведения для воспроизведения уязвимости. Повторные отчеты, касающиеся той же уязвимости, будут отмечены как дубликаты. Такие отчеты не могут претендовать на вознаграждение.
Отчеты, содержащие описания похожих векторов атак, также будут отмечены как дубликаты, если команда безопасности сочтет, что информации из первого отчета достаточно для исправления всех обнаруженных векторов эксплуатации уязвимости.
Оригинальным отчетом может быть отчет другого исследователя или внутренней команды безопасности компании.