ОРД VK — оператор рекламных данных, с помощью которого участники рынка могут маркировать интернет-рекламу в соответсвии с новыми правилами.
В рамках программы Bug Bounty принимаются и оплачиваются только отчеты об уязвимостях, ранее неизвестных команде VK.
Типы уязвимостей, подлежащие вознаграждению, указаны в таблице "Размер вознаграждения" в конце правил программы BugBounty.
Суммы вознаграждения указаны в описании только для справки.
Применимость вознаграждения и его размер могут зависеть от серьезности проблемы, новизны, вероятности использования, окружения и/или других факторов.
Решение о вознаграждении принимается командой безопасности VK для каждого сообщения индивидуально.
Оплата уязвимостей, не перечисленных в таблице "Размер вознаграждения", присуждается на усмотрение владельца программы.
ord.vk.com, api.ord.vk.com, api-sandbox.ord.vk.com
Ошибки в выявленные на домене sandbox.ord.vk.com, в демо-стендах и доменах, используемых для обучения принимаются как информационные и не оплачиваются.
Мы принимаем Client Side уязвимости без оплаты. Программа направлена на получение серьезных и критических ошибок.
Отчеты с уязвимостями 0-day/1-day могут считаться дубликатами в течение нескольких недель после публикации информации об уязвимости если уязвимость известна нашей команде и мы работаем над ее митигацией или исправлением.
Отчет, отправленный действующим или бывшим сотрудником (до года с момента увольнения) группы компаний VK, принимается без оплаты.
При тестировании RCE, SQLi, LFI, LFR, SSTI разрешено использовать только МИНИМАЛЬНО возможный POC для доказательства (sleep, чтение /etc/passwd, curl), если вы хотите протестировать возможность повышения прав на сервере - создайте, пожалуйста, отчет и пропишите, что желаете повысить права.
Запрещена публикация или раскрытие деталей отчетов без согласования с ИБ VK.
Мы оставляем за собой право отклонить любой запрос на публичное раскрытие отчета.
Мы не примем уязвимость если уязвимость никак не влияет на инфраструктуру VK или данные.
При тестировании рекомендуется ограничить средства сканирования до 10 запросов в секунду.
Уязвимость | Вознаграждение |
---|---|
Удаленное исполнение кода (RCE) | 500 000 ₽ |
Инъекции на стороне сервера (SQLi или альтернатива) | 250 000 ₽ |
Доступ к локальным файлам и работа с ними (LFR, RFI, XXE) без ограничений типа jail/chroot/file type restrictions | 250 000 ₽ |
RCE/LFI в Dev. инфраструктуре / изолированном или виртуализированном процессе | 100 000 ₽ |
SSRF, не слепые (с возможностью читать текст ответа), кроме выделенных прокси | 100 000 ₽ |
SSRF, слепые, кроме выделенных прокси | 25 000 ₽ |
Уязвимость на стороне сервера с раскрытием информации (например утечки памяти / IDORs) критически важных или высоко конфиденциальных данных приложения (например, сессии, учетные записи, пароли, кредитные карты, сообщения электронной почты) | 10 000 ‑ 250 000 ₽ |
Уязвимость на стороне сервера с раскрытием информации (например, утечки памяти / IDORs) защищенных персональных данных или конфиденциальной информации клиента | 10 000 ‑ 200 000 ₽ |
Уязвимость на стороне сервера с раскрытием информации (например утечки памяти / IDORs) конфиденциальных данных приложения или инфраструктуры / повышение привилегий роли в организации | 10 000 ‑ 200 000 ₽ |
Обход аутентификации администратор/поддержка | 200 000 ₽ |
Слепая XSS в интерфейсе администратора/поддержки | 150 000 ₽ |
Межсайтовый скриптинг (XSS) | 0 ‑ 10 000 ₽ |
Подробный вывод ошибок, раскрытие путей локальной установки, вывод phpinfo(), счетчики производительности и т.д. не считаются конфиденциальными, такие сообщения обычно принимаются без вознаграждения. Не принимаются сообщения о раскрытии версий программного обеспечения
Исследователь может пожертвовать начисленное вознаграждение на благотворительность с помощью сервиса VK Добро, выбрав любой фонд на сайте или среди других фондов VK Добра на выбор и написав об этом в отчет