avatar

Standoff 365

Компания — Standoff 365

Standoff 365 — платформа для хакеров. Команда Standoff 365 приглашает вас найти уязвимости в платформе и получить денежное вознаграждение.

Описание программы

Скоуп

  • *.standoff365.com

Standoff 365 включает в себя несколько проектов: «Киберполигон», Bug Bounty и Talks. В конкурсе участвуют все поддомены, кроме:

  • meet.standoff365.com
  • chat.standoff365.com
  • vpn.standoff365.com
  • partners.standoff365.com
  • 365-vpn.standoff365.com
  • publicvpn.standoff365.com
  • privatevpn.standoff365.com
  • cfp.standoff365.com

Максимально возможное вознаграждение мы выплачиваем только за уязвимости, связанные с багбаунти и аутентификацией. Сумма вознаграждения за остальные уязвимости может быть меньшей.

Программа для тестов

Для тестирования уязвимостей, связанных с правами доступа, создана специальная закрытая программа багбаунти. В ее названии, описании и скоупе содержатся флаги (секретные строки) в формате ^STF365[a-zA-Z0-9\-_@\(\)]+$. Получив любой из флагов или другие данные этой закрытой программы, вы увеличите сумму вознаграждения за отчет на 10%.

Для удобства тестирования в программу добавлены отчет, комментарий и другие данные. Они приведены в таблице ниже.

Тип данныхЗначение
Приватная программа (id)80
Приватная программа (slug)standoff-priv8t
Документ в правилах приватной программы (uuid)e1a49787-ce62-4520-835d-c69bb1646a43
Отчет (id)1161
Файл, приложенный к отчету (uuid)93e5dd37-d7a7-4a21-9014-88ccc3ada656
Комментарий к отчету (id)4393
Файл, приложенный к комментарию (uuid)f837a477-1b71-4f25-9697-26c9b97331d7

Пожалуйста, не создавайте лишние отчеты в программе. Если вам необходимы дополнительные данные для тестирования, напишите на почту support@standoff365.com.

Вознаграждения за уязвимости

УязвимостьВознаграждение
Удаленное выполнение кода (RCE)200 000–1 000 000 ₽
Внедрение (внедрение SQL-кода или его аналоги)120 000–500 000 ₽
Доступ к локальным файлам или их модификация (LFR, RFI, XXE)70 000–350 000 ₽
Обход аутентификации интерфейса администрирования50 000–250 000 ₽
Access сontrol с получением данных отчета50 000–250 000 ₽
Access сontrol с получением данных закрытой программы50 000–150 000 ₽
Подмена запросов на стороне сервера (SSRF, не вслепую)50 000–100 000 ₽

 

Все остальные уязвимости, не указанные в таблице, могут быть оплачены по решению комиссии в зависимости от их уровня опасности (но вознаграждение не гарантируется).

Standoff 365 не выплачивает вознаграждение:

  • за Next.js SSRF
  • за отчеты сканеров безопасности и других автоматизированных инструментов;
  • раскрытие несекретной информации (наименования ПО или его версии);
  • информацию об IP-адресах, DNS-записях и открытых портах;
  • проблемы и уязвимости, которые основаны на версии используемого продукта, без демонстрации их эксплуатации;
  • уязвимости, эксплуатацию которых блокируют СЗИ, без демонстрации обхода СЗИ;
  • отчеты о небезопасных шифрах SSL и TLS без демонстрации их эксплуатации;
  • отчеты об отсутствии SSL и других лучших практик (best current practices);
  • уязвимости, информацию о которых ранее передали другие участники конкурса (дубликаты отчетов);
  • уязвимости 0-day, о которых стало публично известно менее 30 дней назад, и уязвимости с CVSS выше 8, о которых стало известно менее 14 дней назад;
  • уязвимости 1-day, информация о которых получена командой по безопасности из открытых источников;
  • недостатки, связанные с некорректной настройкой почтовых серверов (DMARC, DKIM и другие) и напрямую не влияющие на пользователей или данные приложения;
  • Self-XSS и другие уязвимости, напрямую не влияющие на пользователей или данные приложения.

Отчеты о лучших практиках (отсутствие флагов secure, httponly и т. д.) принимаются как информативные.

Требования к участникам

  1. Участвовать в программе могут все заинтересованные исследователи в возрасте от 18 лет.
  2. Исследователи в возрасте от 14 до 18 лет имеют право участвовать в программе только при наличии письменного согласия родителей или законного представителя.
  3. Сотрудники Standoff 365 не могут участвовать в программе.

Исследователям необходимо:

  1. Соблюдать правила, которые устанавливает Standoff 365 в своей программе по раскрытию уязвимостей, а также правила платформы Standoff 365 Bug Bounty.
  2. Соблюдать правила конфиденциальности информации. Запрещено получать доступ к данным другого пользователя без его согласия, изменять и уничтожать их, а также раскрывать любую конфиденциальную информацию, случайным образом полученную в ходе поиска уязвимостей или их демонстрации. Преднамеренный доступ к этой информации запрещен и может быть признан незаконным.
  3. Поддерживать общение с командой по безопасности, направлять ей отчеты о выявленных уязвимостях, оформленные согласно требованиям, и давать обратную связь, если у специалистов возникнут вопросы об отчете.
  4. Не разглашать сведения об уязвимости до их публичного раскрытия Standoff 365.

Обязанности Standoff 365

Standoff 365 обязуется:

  1. Отдавать приоритет задачам безопасности, оперативно подходить к устранению обнаруженных уязвимостей.
  2. Уважать исследователей, не препятствовать раскрытию информации об отчете без четких на то оснований.
  3. Не выдвигать исследователям необоснованные обвинения, связанные с участием в конкурсе.

Публичное раскрытие информации об уязвимости

Публичное раскрытие по взаимному соглашению. Standoff 365 обязуется открыто общаться с исследователями о сроках раскрытия информации. Стороны могут выбрать время, в которое будет обнародовано содержание отчета.

Недопустимые действия

Исследователям запрещено:

  • Воздействовать на учетные записи других пользователей без их разрешения.
  • Использовать обнаруженную уязвимость в личных целях.
  • Использовать инструменты тестирования уязвимостей, автоматически генерирующие значительные объемы трафика и приводящие к атакам с исчерпанием ресурсов.
  • Проводить атаки, наносящие вред целостности и доступности сервисов (например, DoS-атаки, брутфорс-атаки), пытаться эксплуатировать уязвимость, нацеленную на исчерпание ресурсов. Следует сообщить о проблеме команде по безопасности Standoff 365, которая проведет атаку в тестовой среде.
  • Проводить физические атаки на персонал, дата-центры и офисы компании.
  • Проводить атаки на системы Standoff 365 с использованием техник социальной инженерии (фишинг, вишинг и т. д.) и спам-рассылок клиентам, партнерам и сотрудникам.
  • Исследовать серверную инфраструктуру, где размещены веб-приложения.

Если при исследовании сервисов компании вы обнаружили несколько проблем безопасности, подготовьте отчеты о каждой из выявленных уязвимостей отдельно.

Запущена 21 февраля 2023
Изменена 9 января, 12:37
Формат программы
По уязвимостям
Награда за уязвимости
по уровню опасности
Критический
250K–1M ₽
Высокий
50K–250K ₽
Средний
15K–50K ₽
Низкий
0–15K ₽
Отсутствует
0–0 ₽
Статистика по программе
990 248 ₽
Всего выплачено
39 609 ₽
Средняя выплата
40 000 ₽
Выплачено за последние 90 дней
80
Всего отчетов принято
143
Всего отчетов сдано
Описание
Уязвимости
Рейтинг