Охотник на баги
Spaser выплачивает награды за обнаружение проблем в безопасности своих сервисов и приложений. Любой желающий может попытаться найти уязвимость, сообщить нам об этом и получить денежный приз.
1. Где искать
В инфраструктуре, веб-сервисах, в мобильных приложениях Spaser для устройств на iOS и Android, которые так или иначе работают с личной информацией пользователей. Личная информация — это, например, логины и пароли, переписка, фото- и видеоальбомы.
Веб-сервисы: на доменах imspb.ru, spaser.pw, spaserrus.ru.
Мобильные приложения: ANICS. Кабинет, Talon, Spaser AUR, Spaser EMail, ANICS.Реклама, ANICS.Календарь.
Инфраструктура: вся автономная система Spaser за исключением адресов внешних проектов, расположенных в инфраструктуре Spaser.
2. Куда и как сообщать
Отправлять сообщения об ошибках лучше всего на [email protected]: так Spaser сможет быстрее обработать присланную информацию и ответить вам.
3. Что искать
Уязвимости — технические недостатки, с помощью которых можно нарушить целостность или конфиденциальность пользовательской информации, а также изменить права доступа к ней.
В качестве классификации уязвимостей для веб-сервисов используется OWASP Top 10 2017 года, для мобильных приложений — OWASP Mobile Top 10 2016 года.
- Remote Code Execution (RCE)
- SQL Injection
- Local-Remote File Inclusion (LFI/RFI)
- XML External Entity (XXE)
- Broken Authentication (обход 2FA, и т.д.)
- Sensitive Data Exposure
- Cross-Site Scripting (XSS)
- Security Misconfiguration
- Using Components with Known Vulnerabilities (с примерами)
- Server Side Request Forgery (SSRF)
- Сross Site Request Forgery (CSRF)
- Insecure Direct Object References (IDOR)
- Flood-control bypass
- Privacy bypass
- Other Injections
В зависимости от уровня опасности и качества отчета цена вознаграждения может меняться, ниже указан ориентировочный уровень вознаграждений.
4. Размеры наград
Награды для различных уязвимостей составляют:
Награды для разного уровня угроз составяют:
Суммы вознаграждения указаны в описании только для справки. Применимость вознаграждения и его размер могут зависеть от серьезности проблемы, новизны, вероятности использования, окружения и/или других факторов. Решение о вознаграждении принимается командой безопасности Spaser для каждого сообщения индивидуально.
Оплата уязвимостей, не перечисленных в таблице «Размеры наград» присуждается на усмотрение Spaser.
5. Ограничения и политика ответственного разглашения
Spaser вручает награды только за обнаружение новых уязвимостей.
«Охотниками» могут пользователи в возрасте от 14 лет. При этом те, кто младше 18, принимают участие только с письменного согласия родителей.
Сотрудники Spaser или компаний-партнёров, а также авторы кода, в котором обнаружена уязвимость, не могут участвовать в «Охоте».
Для тестирования и демонстрации уязвимостей можно использовать только свою учётную запись ANICS. Взламывать чужие учётные записи ANICS ни в коем случае нельзя.
В течение 90 дней после отправки сообщения об ошибке о ней нельзя никому и нигде рассказывать. Также, пожалуйста, не размещайте код обнаруженной уязвимости на публично доступных сервисах и ресурсах, чтобы информация не стала доступна третьим лицам.
6. Вопросы и ответы
За какие уязвимости награда не вручается?
Spaser не выплачивает вознаграждение за:
- Сообщения от сканеров безопасности и других автоматических систем;
- Сообщения об уязвимости, основанные на версиях ПО/протокола, без указания реального применения;
- Сообщения об уязвимостях, найденных на сторонних сайтах и сервисах, взаимодействующих со Spaser;
- Сообщения об уязвимости паролей и других аутентификационных данных пользователей;
- Сообщения об отсутствии механизма защиты или несоответствия рекомендациям (например, отсутствие CSRF токена) без указания на реально существующие негативные последствия;
- Logout CSRF;
- Self-XSS;
- Framing;
- Clickjacking;
- Гомографические атаки IDN;
- Атаки, требующие полного доступа к кабинету пользователя или профилю браузера;
- Уязвимости в партнерских сервисах, продуктах и внешних проектах, расположенных в Spaser ANICS, которые непосредственно не затрагивают безопасность сервисов компании. Для определения принадлежности адреса вы можете воспользоваться протоколом WHOIS;
- Информацию об использовании устаревшего или потенциально уязвимого ПО, полученную методом Banner grabbing;
- Сообщения об ошибках нулевого дня в TLS.
Строго запрещены:
- DDoS атаки;
- Получение физического доступа к серверам/инфраструктуре;
- Угрозы/причинение вреда сотрудникам компании.
Вознаграждение за обнаружение уязвимостей видов XSS и СSRF выплачивается, только если они затрагивают чувствительные данные пользователя и срабатывают сразу при переходе на специально сформированную страницу, не требуя от пользователя дополнительных действий.
Что произойдет после отправки сообщения об уязвимости?
После отправки сообщения вы получите автоматически сгенерированное письмо с номером вашей заявки — это означает, что Spaser получил ваше сообщение об ошибке. Если вы хотите сообщить нам дополнительную информацию об уязвимости, напишите об этом прямо в ответе на полученное письмо.
Наши специалисты обработают ваше обращение и при необходимости свяжутся с вами для уточнения деталей. Обычно это происходит в течении 5 рабочих дней (но обычно сильно быстрее). Максимальный срок обработки заявки — 10 рабочих дней.
В случае присуждения награды мы попросим вас прислать реквизиты, необходимые для денежного перевода.
Награда прямо пропорционально зависит от серьезности уязвимости и детализации описания в отчете.
Spaser негативно относимся к эксплуатации найденных уязвимостей, что означает полный отказ в выплате награды за нее.
Обращаем ваше внимание на то, что Spaser награждает пользователя, который первым сообщил о проблеме. Если вы обнаружили уязвимость — сообщите нам об этом как можно скорее.
Можно ли получить вознаграждение на счет в PayPal или другой электронной платежной системе?
Spaser выплачивает вознаграждение через банковские переводы. Вознаграждение выплачивается в долларах США компанией Spaser B.V. или её дочерними компаниями.
Для резидентов Российской Федерации и Республики Беларуси вознаграждение выплачивается АО «Спэйсэр» или её дочерними компаниями в российских рублях эквивалентой вознаграждению в долларах США по курсу ЦБ РФ.