Positive bug hunting

Positive Technologies предлагает найти уязвимости в ее IT-системах и сервисах.

Последние изменения

Описание программы

Positive Technologies непрерывно работает над созданием продуктов, которым доверяют компании со всего мира. Наш опыт показывает, что абсолютно безопасных систем не существует, — именно поэтому мы разместили программу вознаграждения за найденные в наших сервисах уязвимости.

Скоуп

В конкурсе участвуют только указанные домены. Все остальные поддомены, домены второго и третьего уровня не входят в скоуп.

Примечание. Если вы обнаружили уязвимость, не касающуюся перечисленных выше ресурсов, просим вас также сообщить нам о ней. Наша
команда по безопасности изучит ваш отчет и устранит проблему.

Требования к участникам

Участвовать в программе могут все заинтересованные исследователи в возрасте от 18 лет.
Исследователи в возрасте от 14 до 18 лет имеют право участвовать в программе только при наличии письменного согласия родителей или законного представителя.
Сотрудники Positive Technologies не могут участвовать в программе.

Исследователям необходимо:

Соблюдать правила, которые устанавливает Positive Technologies в своей программе по раскрытию уязвимостей, а также правила платформы The Standoff 365 Bug Bounty.
Соблюдать правила конфиденциальности информации. Запрещено получать доступ к данным другого пользователя без его согласия, изменять и уничтожать их, а также раскрывать любую конфиденциальную информацию, случайным образом полученную в ходе поиска уязвимостей или их демонстрации. Преднамеренный доступ к этой информации запрещен и может быть признан незаконным.
Поддерживать общение с командой по безопасности, направлять ей отчеты о выявленных уязвимостях, оформленные согласно требованиям, и давать обратную связь, если у специалистов возникнут
вопросы об отчете.
Не разглашать информацию об уязвимости. Право на публикацию информации о найденной уязвимости остается за Positive Technologies.

Обязанности Positive Technologies

Positive Technologies обязуется:

Отдавать приоритет задачам безопасности, оперативно подходить к устранению обнаруженных уязвимостей.
Уважать исследователей, не препятствовать раскрытию информации об отчете без четких на то оснований.
Не выдвигать исследователям необоснованные обвинения, связанные с участием в конкурсе.
Указывать имя исследователя, нашедшего уязвимость, в случае публикации информации о ней.

Недопустимые действия

Исследователям запрещено:

Воздействовать на учетные записи других пользователей без их разрешения.
Использовать обнаруженную уязвимость в личных целях.
Использовать инструменты тестирования уязвимостей, автоматически генерирующие значительные объемы трафика и приводящие к атакам с исчерпанием ресурсов.
Проводить атаки, наносящие вред целостности и доступности сервисов (например, DoS-атаки, брутфорс-атаки и т. д.), пытаться эксплуатировать уязвимость, нацеленную на исчерпание ресурсов. Следует сообщить о проблеме команде по безопасности Positive Technologies, которая проведет атаку в тестовой среде.
Проводить физические атаки на персонал, дата-центры и офисы компании.
Проводить атаки на системы Positive Technologies с использованием техник социальной инженерии (фишинг, вишинг и т. д.) и спам-рассылок клиентам, партнерам и сотрудникам.
Исследовать серверную инфраструктуру, где размещены веб-приложения.

Вознаграждения за уязвимости

Уязвимость	Вознаграждение
---
Удаленное выполнение кода (RCE)	100 000 — 400 000 ₽
Доступ к локальным файлам или их модификация (LFR, RFI, XXE)	50 000 — 250 000 ₽
Внедрение (внедрение SQL-кода или его аналоги)	50 000 — 250 000 ₽
Обход аутентификации интерфейса администрирования	25 000 — 125 000 ₽
Подмена запросов на стороне сервера (SSRF, не вслепую)	50 000 — 100 000 ₽

Размер вознаграждения за уязвимости, найденные в используемом компанией
ПО сторонних производителей (например, CMS), оценивается по минимальной
границе, но может быть увеличен по решению конкурсной комиссии. Все
остальные уязвимости, не указанные в таблице, могут быть оплачены по
решению комиссии в зависимости от их уровня опасности (но вознаграждение
не гарантируется).

Positive Technologies не выплачивает вознаграждение:

за отчеты сканеров безопасности и других автоматизированных инструментов;
раскрытие несекретной информации (наименования ПО или его версии);
информацию об IP-адресах, DNS-записях и открытых портах;
проблемы и уязвимости, которые основаны на версии используемого продукта, без демонстрации их эксплуатации;
уязвимости, эксплуатацию которых блокируют СЗИ, без демонстрации обхода СЗИ;
отчеты о небезопасных шифрах SSL и TLS без демонстрации их эксплуатации;
отчеты об отсутствии SSL и других лучших практик (best current practices);
уязвимости, информацию о которых ранее передали другие участники конкурса (дубликаты отчетов);
уязвимости 0-day или 1-day, информация о которых получена командой по безопасности из открытых источников.

Требования к оформлению отчета

Отчет об уязвимости должен содержать:

Название уязвимости.
Название продукта и версию затрагиваемого ПО (компонента).
Проверку концепции (proof of concept) или подробное описание обнаруженной уязвимости и шагов по ее воспроизведению.
Описание сценария атаки: кто может использовать уязвимость, для какой выгоды, как она эксплуатируется и т. д.
Рекомендации по устранению уязвимости.

Видео и скриншоты могут быть приложены к отчету об ошибке, но не могут его заменить.

Если при исследовании сервисов компании вы обнаружили несколько проблем безопасности, подготовьте отчеты о каждой из выявленных уязвимостей отдельно.

Передача информации об обнаруженной уязвимости происходит согласно правилам платформы.

Запущена 19 мая 2022

Изменена 28 октября, 12:01

Формат программы

По уязвимостям

Награда за уязвимости

по уровню опасности

Критический

100K–400K ₽

Высокий