Компания

Полезное

API
support24/7

Bug Bounty

Описание

Программа Bug Bounty AlfaBit представляет собой инициативу по обеспечению кибербезопасности, призванную привлекать независимых исследователей безопасности для обнаружения уязвимостей в системах и приложениях компании. Участникам предлагаются денежные награды за каждую обнаруженную и документированную уязвимость, сумма которых зависит от уровня опасности и сложности эксплуатации обнаруженной уязвимости. Участвуя в данной программе, вы соглашаетесь с условиями ниже.

Где искать уязвимости?

Мобильные приложения:

Вознаграждения за уязвимости

Вознаграждение выплачивается в USDT или эквивалент в другой криптовалюте (BTC, ETH, LTC, XMR).

status-markerКритический

1500 - 5000 USDT

status-markerВысокий

750 - 1500 USDT

status-markerСредний

300 - 750 USDT

status-markerНизкий

100 - 300 USDT

status-markerОтсутствует

0 USDT

Уязвимости, которые мы НЕ принимаем

  • Отчеты сканеров уязвимостей и других автоматизированных инструментов
  • Раскрытие информации, не являющейся конфиденциальной, например версии продукта
  • Раскрытие публичной информации о пользователе, например nickname
  • Отчеты, основанные на версии продукта/протокола без демонстрации реального наличия уязвимости
  • Отчеты об отсутствующем механизме защиты/лучшей текущей практике (например отсутствие CSRF-маркера, защита от framing/clickjacking) без демонстрации реального влияния на безопасность пользователя или системы
  • Сообщения об опубликованных и неопубликованных DNS-записях SPF, DKIM, DMARC
  • Межсайтовая подделка запросов, приводящая к выходу из системы (logout CSRF)
  • Уязвимости партнерских продуктов или сервисов
  • Безопасность устройств с root/jailbreak или иным образом модифицированных устройств и приложений
  • Возможность reverse engineering приложения или отсутствие защиты от данного воздействия
  • Open redirections принимаются только в том случае, если определено влияние на безопасность, например возможность кражи авторизационного токена
  • Ввод неформатированного текста, звука, изображения, видео в ответ сервера вне пользовательского интерфейса (например, в данных JSON или сообщении об ошибке), если это не приводит к подмене пользовательского интерфейса, изменению поведения пользовательского интерфейса или другим негативным последствиям
  • Same Site scripting, reflected download и подобные атаки
  • Отчеты, связанные с CSP, для доменов без CSP и доменных политик с небезопасными директивами eval/inline
  • Гомографические атаки IDN
  • Cross Site Port Attack (XSPA) (сканирование IP/портов во внешние сети)
  • Инъекция формул Excel CSV
  • Self-XSS без демонстрации импакта
  • Атаки, требующие полного доступа к локальной учетной записи илипрофилю браузера
  • Атаки со сценариями, где уязвимость в стороннем сайте или приложении требуется как необходимое условие и не демонстрируется
  • Теоретические атаки без доказательства возможности использования
  • Уязвимости отказа в обслуживании (DoS), связанные с отправкой большого количества запросов или данных
  • Раскрытие неиспользуемых или должным образом ограниченных ключей JS API (например, ключ API для внешнего картографического сервиса)
  • Возможность выполнить действие, недоступное через пользовательский интерфейс, без выявленных рисков безопасности

Ограничения при тестировании уязвимостей

  • При тестировании RCE, SQLi, LFI, LFR, SSTI разрешено использовать только МИНИМАЛЬНО возможный Proof of concept (PoC) для доказательства (sleep, чтение /etc/passwd, curl)
  • Запрещено совершать попытки получения доступа к учетным записям, данным пользователей или к любым другим конфиденциальным данным, выходящим за пределы действий, минимально необходимых для демонстрации найденной уязвимости
  • Проводить атаки на системы AlfaBit с использованием социальной инженерии (фишинг, вишинг и т.д.) и спам-рассылки клиентам, партнерам и сотрудникам
  • Поводить атаки, наносящие вред целостности и доступности сервисов (например, DoS-атаки, брутфорс-атаки и т.д.), пытаться эксплуатировать уязвимости, нацеленные на исчерпание ресурсов

Требования к оформлению отчета

Отчет об уязвимости должен содержать следующие разделы:

  • Название уязвимости
  • Название продукта и версию затрагиваемого ПО (компонента)
  • Подробное описание обнаруженной уязвимости и шагов по ее воспроизведению (включая видео и/или скриншоты)
  • Описание сценария атаки: кто может использовать уязвимость, с какой целью, как она эксплуатируется и т.д.
  • Рекомендации по устранению уязвимости

Правила рассмотрения отчетов об уязвимостях

  • Мы отвечаем в течение 5 рабочих дней
  • Мы обрабатываем отчеты в течение 10 рабочих дней после ответа
  • Мы можем увеличить сроки обработки отчетов, но в таком случае мы проинформируем вас о задержке
  • Мы определим сумму вознаграждения в течение 15 рабочих дней после обработки
  • Мы оставляем за собой право пересмотра итогового уровня опасности обнаруженной уязвимости

Отправляйте ваши отчеты о найденных уязвимостях на bugbounty@alfabit.org.