Самокат
Company: СамокатСамокат — онлайн-магазин с доставкой продуктов и товаров для дома от 15 минут.
Rewards are paid to individual entrepreneurs and self-employed persons
Only citizens of the following countries can participate: Russia
Program description
Добро пожаловать в баг-баунти программу Самокат! Приглашаем вас найти уязвимости в системах Самокат и получить вознаграждение в соответствии с нижеприведенными правилами.
Правила для нас
- Мы уважаем время и усилия наших исследователей;
- Мы отвечаем в течение 15 рабочих дней;
- Мы обрабатываем отчеты в течение 30 рабочих дней после ответа;
- Мы можем увеличить сроки обработки отчетов, но в таком случае мы проинформируем вас о задержке;
- Мы определим сумму вознаграждения в течение 30 рабочих дней после обработки;
- Мы сделаем все возможное, чтобы в процессе обработки отчета вы были в курсе нашего прогресса.
Правила для вас
- Будьте этичным хакером и уважайте конфиденциальность других пользователей;
- Старайтесь избегать нарушений конфиденциальности, уничтожения данных, а также прерывания или ухудшения качества наших услуг;
- Если вы проводите исследование Самокат, при регистрации учётной записи для тестирования в поле Фамилия используйте слово Standoff, это поможет избежать потенциальной блокировки учетной записи;
- Инструменты автоматического сканирования должны быть ограничены 30 запросами в секунду к одному целевому узлу, суммируя все инструменты и потоки, работающие параллельно;
- Перед началом исследований ознакомьтесь с правилами, указанными в этой программе;
- Старайтесь эффективно представлять информацию об уязвимостях;
Disclaimer: Самокат использует AntiDDoS/antibot защиту ServicePipe. Обнаружение на странице заголовкаX-SP-CRIDили функций видаget_cookie_spsc() | *.spsc*.означает нахождение на странице-заглушке от ServicePipe.
Скоуп
| Уровень 1 | Уровень 2 | Уровень 3 |
|---|---|---|
| api.samokat.ru | Самокат Android/iOS/RuStore | *.samokat.io |
| api-web.samokat.ru | *.samokat.ru | |
| samokat.ru | https://tech.samokat.ru | |
| https://selfcare.samokat.io | ||
| https://ref.samokat.ru | https://fix.samokat.ru | |
| https://rocketchat.samokat.ru | https://samokat.tech | |
| https://opencloud.samokat.ru | https://vacancy.samokat.ru | |
| https://darkstore.samokat.ru | ||
| https://hiring.samokat.ru | ||
| https://smena.samokat.ru | ||
| https://ls-booking-frontend.samokat.ru | ||
| https://btl-promoter.samokat.ru |
Вознаграждения за уязвимости, найденные в доменах Уровня 2 и 3, не гарантируется. Такие уязвимости будут рассмотрены индивидуально, в зависимости от уровня опасности и значимости домена.
Самокат не выплачивает вознаграждение:
- за отчеты сканеров безопасности и других автоматизированных инструментов;
- информацию об IP-адресах, DNS-записях и открытых портах;
- проблемы и уязвимости, которые основаны на версии используемого продукта, без демонстрации их эксплуатации;
- уязвимости, эксплуатацию которых блокируют СЗИ, без демонстрации обхода СЗИ (например WAF);
- отчеты о небезопасных шифрах SSL и TLS без демонстрации их эксплуатации;
- уязвимости, информацию о которых ранее передали другие участники конкурса (дубликаты отчетов);
- уязвимости 0-day и 1-day, о которых стало публично известно менее 30 дней назад, и уязвимости с CVSS выше 8, о которых стало известно менее 14 дней назад;
- Self-XSS и другие уязвимости, напрямую не влияющие на пользователей или данные приложения.
- Уязвимости, для которых требуются версии браузера, выпущенные за 6 и более месяцев (либо прекращена поддержка) до представления отчета;
- Ошибки в настройке CORS без демонстрации их эксплуатации;
- Разглашение информации о существовании в системе данного имени пользователя, email или номера телефона;
- Разглашение технической или нечувствительной информации (например, версии продукта или используемого ПО, stacktrace);
- Tabnabbing;
- Clickjacking;
- Отчеты, связанные с CSP, для доменов без CSP и доменных политик с небезопасными eval и/или небезопасными inline;
- Атаки, требующие полного доступа к локальной учетной записи или профилю браузера;
- Раскрытие конфиденциальной информации пользователей через внешние ресурсы, не контролируемые Самокат, например данные с шпионского ПО;
- Уязвимости, требующие выполнения сложного или маловероятного сценария взаимодействия с пользователем;
- Отсутствие лучших практик в конфигурации DNS и почтовых сервисов (DKIM/DMARC/SPF/TXT);
- Неработающие ссылки на страницы социальных сетей или невостребованные ссылки в социальных сетях и подобные страницы;
- Возможность выполнить действие, недоступное через пользовательский интерфейс, без выявленных рисков безопасности;
- Возможность создавать учетные записи пользователей без каких-либо ограничений;
- Перечисление пользователей;
- Разглашение публичной информации о пользователях;
- Отсутствие уведомлений о важных действиях пользователя.
- Утечка конфиденциальных маркеров (например, маркера сброса пароля) доверенным
третьим лицам по защищенному соединению (HTTPS); - Account takeover линейных сотрудников (Не связанных с разработкой, либо не имеющих доступа к чувствительной информации)
- Проблемы, никак не связанные с безопасностью (если вы обнаружите проблемы, не связанные с безопасностью, направляйте их в техническую поддержку https://t.me/samokatsupportbot)
Отсутствие механизма защиты или лучших практик без демонстрации реального влияния на безопасность пользователя или системы принимаются как информативные (например: HTTP заголовков безопасности (CSP, HSTS, и т.д.), флагов безопасности Сookie (HttpOnly, Secure и т.д.) или защиты от CSRF, SSL сертификатов);
Обязанности Самоката
Самокат обязуется:
- Отдавать приоритет задачам безопасности, оперативно подходить к устранению обнаруженных уязвимостей.
- Уважать исследователей, не препятствовать раскрытию информации об отчете без четких на то оснований.
- Не выдвигать исследователям необоснованные обвинения, связанные с участием в конкурсе.
Публичное раскрытие информации об уязвимости
Публичное раскрытие по взаимному соглашению. Самокат обязуется открыто общаться с исследователями о сроках раскрытия информации. Стороны могут выбрать время, в которое будет обнародовано содержание отчета.
Недопустимые действия
Исследователям запрещено:
- Запрещено получать доступ к данным другого пользователя без его согласия, изменять и уничтожать их, а также раскрывать любую конфиденциальную информацию, случайным образом полученную в ходе поиска уязвимостей или их демонстрации. Преднамеренный доступ к этой информации запрещен и может быть признан незаконным.
- Воздействовать на учетные записи других пользователей без их разрешения.
- Использовать обнаруженную уязвимость в личных целях.
- Использовать инструменты тестирования уязвимостей, автоматически генерирующие значительные объемы трафика и приводящие к атакам с исчерпанием ресурсов.
- Проводить атаки, наносящие вред целостности и доступности сервисов (например, DoS-атаки, брутфорс-атаки), пытаться эксплуатировать уязвимость, нацеленную на исчерпание ресурсов. Следует сообщить о проблеме команде по безопасности Самокат которая проведет атаку в тестовой среде.
- Проводить физические атаки на персонал, дата-центры и офисы компании.
- Проводить атаки на системы Самокат с использованием техник социальной инженерии (фишинг, вишинг и т. д.) и спам-рассылок клиентам, партнерам и сотрудникам.
- Исследовать серверную инфраструктуру, где размещены веб-приложения.
- Разглашать сведения об уязвимости до их публичного раскрытия Самокат.
Если при исследовании сервисов Самокат вы обнаружили несколько проблем безопасности, подготовьте отчеты о каждой из выявленных уязвимостей отдельно.
Политика тестирования RCE
Тестирование уязвимостей, которые могут приводить к удаленному исполнению кода, должно выполняться в соответствии с данными правилами:
Во время тестирования запрещены любые действия на сервере кроме:
Во время тестирования запрещены любые действия на сервере кроме:
- Выполнения команд ifconfig (ipconfig), hostname, whoami, id;
- Чтения содержимого файлов /etc/passwd и /proc/sys/kernel/hostname ("drive:/boot.ini, drive:/install.ini);
- Создания пустого файла в каталоге текущего пользователя.
При необходимости проведения иных действий необходимо предварительно согласовать их с нашими специалистами безопасности.
Политика тестирования SQL инъекций
Тестирование уязвимостей, которые могут приводить к внедрению команд SQL, должно выполняться в соответствии с данными правилами.
Во время тестирования запрещены любые действия на сервере кроме:
Во время тестирования запрещены любые действия на сервере кроме:
- Получения данных о текущей БД (SELECT database()), ее версии (SELECT @@version), текущего пользователя (SELECT user(), SELECT system_user()) или имени хоста (SELECT @@hostname);
- Получения схемы БД (SELECT table_schema), списка таблиц в ней (SELECT table_name) и имен столбцов в таблицах (SELECT column_name);
- Выполнения математических, конверсионных или логических запросов (включая использование SLEEP) без извлечения данных (кроме тех, что перечислены выше).
При необходимости проведения иных действий необходимо предварительно согласовать их с нашими специалистами безопасности.
Политика загрузки и чтения файлов
Тестирование уязвимостей, которые могут приводить к чтению произвольных файлов на сервере или произвольной загрузке файлов, должно выполняться в соответствии с данными правилами:
Запрещенные действия при загрузке файлов:
Запрещенные действия при загрузке файлов:
- Изменение, модификация, удаление и замена любых файлов на сервере (включая системные), кроме тех, что ассоциированы с вашей учетной записью либо с учетной записью пользователя, который явно выразил свое согласие;
- Загрузка файлов, которые могут вызвать отказ в обслуживании (например, файлов большого размера);
- Загрузка вредоносных файлов (например, малвари или шпионского ПО).
При получении возможности чтения произвольных файлов на сервере запрещены любые действия кроме чтения таких файлов, как /etc/passwd и /proc/sys/kernel/hostname ([drive:/boot.ini, drive:/install.ini). При необходимости проведения иных действий необходимо предварительно согласовать их с нашими специалистами