Поддержка услуг » База знаний » Юридические вопросы » Программа вознаграждения за ошибки (Bug Bounty Program)
 Программа вознаграждения за ошибки (Bug Bounty Program)
Решение

Рекомендации по серьезности

Все заявки на вознаграждение оцениваются с использованием специально разработанной простой шкалы. Каждая уязвимость уникальна, но ниже приведены приблизительные рекомендации, которые мы используем внутри компании для оценки и поощрения заявок. 

Критическая серьезность - 1000+ USD

Проблемы критической серьезности представляют прямой и непосредственный риск для широкого круга наших пользователей или для самой компании.

  • Выполнение произвольного кода / команды в нашей сети.
  • Произвольные SQL-запросы / инъекции.
  • Обход процесса входа в систему.
  • Доступ к конфиденциальным данным пользователей или доступ к внутренней биллинг-системе. 

Высокая серьезность - 500 USD

Проблемы высокой степени серьезности позволяют злоумышленнику считывать или изменять высокочувствительные данные, доступ к которым у него запрещен.

  • Получение доступа к некритичному ресурсу, доступ к которому должны иметь только сотрудники.
  • Атаки типа CSRF / Stored XSS, требующие взаимодействия с пользователем.
  • Получение доступа / изменение данных конкретного пользователя.

Средняя серьезность - 100 USD

Проблемы средней степени тяжести позволяют злоумышленнику считывать или изменять ограниченные объемы данных, доступ к которым у него запрещен.

  • Получение списка каталогов серверных файлов
  • Получение от серверов секретных данных
  • Функциональные проблемы безопасности, такие как ссылка для сброса пароля, срок действия которой не истекает

Низкая серьезность - 50 USD

Проблемы низкой серьезности позволяют злоумышленнику получить доступ к крайне ограниченным объемам данных. Они могут нарушать ожидания относительно того, как что-либо должно работать, но это практически не допускает повышения привилегий или возможности вызвать непреднамеренное поведение злоумышленника

  • Проблемы с DDOS, которые не связаны с применением грубой силы и могут нанести значительный ущерб.
  • Запуск подробных страниц ошибок или отладочных страниц без доказательств возможности использования или получения конфиденциальной информации.
  • Незначительные утечки информации (нет данных клиентов).

Неподходящие отчеты

  • Ошибки, о которых сообщают крупномасштабные сканеры уязвимостей, скребки или автоматизированные инструменты, которые производят чрезмерный объем трафика, включают отсутствующие заголовки.
  • Распространенные проблемы с DDOS, ограничение частоты пропущенных / неадекватных запросов.
  • Уязвимости в неподдерживаемых браузерах, операционных системах и устаревших версиях наших приложений.
  • Социальная инженерия, атаки методом перебора, скомпрометированный пароль пользователя.
  • Перечисленные ниже известные проблемы не имеют права на вознаграждение.

Известные проблемы

Следующие проблемы известны и являются ожидаемым поведением IHC. Мы ожидаем, что наши пользователи будут осведомлены о безопасности и не будут применять эти политики.

  • Слабая политика паролей, отсутствует максимальная длина пароля.
  • Забыли / Сбросили пароль, позволяющий создать новую учетную запись.
  • Срок действия ссылки для сброса пароля не истекает после смены пароля / электронной почты.
  • Неспособность аннулировать сеанс при смене пароля / электронной почты.
  • Выход из системы не приведет к уничтожению существующих сеансов.
  • Копирование сессионного файла cookie позволяет войти в систему.
  • Запись DMARC отсутствует.
  • Раскрытие версии сервера.
  • Библиотеки фронтенда не последних версий.

Правила программы вознаграждения за ошибки

  • Немедленно сообщайте нам о воспроизводимых ошибках безопасности.
  • Никаких нетехнических атак, таких как социальная инженерия, фишинг или физические атаки на наших сотрудников, пользователей или инфраструктуру.
  • Чем тщательнее проверка концепции, тем выше вероятность получения выплаты.
  • Не публикуйте ошибку до того, как она будет исправлена.
  • Вознаграждение будет присуждаться только в USDT.
  • При возникновении дубликатов мы присуждаем только первый полученный отчет (при условии, что он может быть полностью воспроизведен).
  • Суммы, указанные в рекомендациях по серьезности, являются ориентировочными. Точную сумму вознаграждения определяет наша служба безопасности.

Как отправить отчет

Отправьте письмо на director@ihc.ru или заявку через личный кабинет с подробным описанием проблемы. Наша команда свяжется с вами в течение нескольких дней.

 
 Назад
 Интернет Хостинг Центр
 Виртуальный хостинг сайтов
 VPS хостинг
 Аренда серверов
 Регистрация доменов
 Информация о компании
 Поиск
 Свойства статьи
 Распечатать статью
 Добавить в избранное
Главная | Регистрация | База знаний | Новости | Загрузки
Язык: