Охотник на баги

обновлено 16 января 2024 г.

Spaser выплачивает награды за обнаружение проблем в безопасности своих сервисов и приложений. Любой желающий может попытаться найти уязвимость, сообщить нам об этом и получить денежный приз.

1. Где искать

В инфраструктуре, веб-сервисах, в мобильных приложениях Spaser для устройств на iOS и Android, которые так или иначе работают с личной информацией пользователей. Личная информация — это, например, логины и пароли, переписка, фото- и видеоальбомы.

Веб-сервисы: на доменах imspb.ru, spaser.pw, spaserrus.ru.

Мобильные приложения: ANICS. Кабинет, Talon, Spaser AUR, Spaser EMail, ANICS.Реклама, ANICS.Календарь.

Инфраструктура: вся автономная система Spaser за исключением адресов внешних проектов, расположенных в инфраструктуре Spaser.

2. Куда и как сообщать

Отправлять сообщения об ошибках лучше всего на [email protected]: так Spaser сможет быстрее обработать присланную информацию и ответить вам.

3. Что искать

Уязвимости — технические недостатки, с помощью которых можно нарушить целостность или конфиденциальность пользовательской информации, а также изменить права доступа к ней.

В качестве классификации уязвимостей для веб-сервисов используется OWASP Top 10 2017 года, для мобильных приложений — OWASP Mobile Top 10 2016 года.

  • Remote Code Execution (RCE)
  • SQL Injection
  • Local-Remote File Inclusion (LFI/RFI)
  • XML External Entity (XXE)
  • Broken Authentication (обход 2FA, и т.д.)
  • Sensitive Data Exposure
  • Cross-Site Scripting (XSS)
  • Security Misconfiguration
  • Using Components with Known Vulnerabilities (с примерами)
  • Server Side Request Forgery (SSRF)
  • Сross Site Request Forgery (CSRF)
  • Insecure Direct Object References (IDOR)
  • Flood-control bypass
  • Privacy bypass
  • Other Injections

В зависимости от уровня опасности и качества отчета цена вознаграждения может меняться, ниже указан ориентировочный уровень вознаграждений.

4. Размеры наград

Награды для различных уязвимостей составляют:

Уязвимость Размер награды
Remote Code Execution (RCE), server-side 16 000 $
Remote Code Execution (RCE), mobile app 4 000 $
SQL Injection (SQLi) 11 500 $
Local/Remote File Inclusion (LFI, RFI) 2 250 $
XML External Entity (XXE) 2 250 $
Server-Side Request Forgery (SSRF) 2 250 $
Server-Side Request Forgery (SSRF), blind 2 250 $
Insecure Direct Object Reference (IDOR) 750 $
Cross-Site Scripting (XSS) 750 $
Open Redirect 225 $

Награды для разного уровня угроз составяют:

Уровень угроз Размер награды
критический уровень до 20 000 $
высокий уровень до 10 000 $
средний уровень до 5 000 $
низкий уровень до 500 $

Суммы вознаграждения указаны в описании только для справки. Применимость вознаграждения и его размер могут зависеть от серьезности проблемы, новизны, вероятности использования, окружения и/или других факторов. Решение о вознаграждении принимается командой безопасности Spaser для каждого сообщения индивидуально.

Оплата уязвимостей, не перечисленных в таблице «Размеры наград» присуждается на усмотрение Spaser.

5. Ограничения и политика ответственного разглашения

Spaser вручает награды только за обнаружение новых уязвимостей.

«Охотниками» могут пользователи в возрасте от 14 лет. При этом те, кто младше 18, принимают участие только с письменного согласия родителей.

Сотрудники Spaser или компаний-партнёров, а также авторы кода, в котором обнаружена уязвимость, не могут участвовать в «Охоте».

Для тестирования и демонстрации уязвимостей можно использовать только свою учётную запись ANICS. Взламывать чужие учётные записи ANICS ни в коем случае нельзя.

В течение 90 дней после отправки сообщения об ошибке о ней нельзя никому и нигде рассказывать. Также, пожалуйста, не размещайте код обнаруженной уязвимости на публично доступных сервисах и ресурсах, чтобы информация не стала доступна третьим лицам.

6. Вопросы и ответы

За какие уязвимости награда не вручается?

Spaser не выплачивает вознаграждение за:

  • Сообщения от сканеров безопасности и других автоматических систем;
  • Сообщения об уязвимости, основанные на версиях ПО/протокола, без указания реального применения;
  • Сообщения об уязвимостях, найденных на сторонних сайтах и сервисах, взаимодействующих со Spaser;
  • Сообщения об уязвимости паролей и других аутентификационных данных пользователей;
  • Сообщения об отсутствии механизма защиты или несоответствия рекомендациям (например, отсутствие CSRF токена) без указания на реально существующие негативные последствия;
  • Logout CSRF;
  • Self-XSS;
  • Framing;
  • Clickjacking;
  • Гомографические атаки IDN;
  • Атаки, требующие полного доступа к кабинету пользователя или профилю браузера;
  • Уязвимости в партнерских сервисах, продуктах и внешних проектах, расположенных в Spaser ANICS, которые непосредственно не затрагивают безопасность сервисов компании. Для определения принадлежности адреса вы можете воспользоваться протоколом WHOIS;
  • Информацию об использовании устаревшего или потенциально уязвимого ПО, полученную методом Banner grabbing;
  • Сообщения об ошибках нулевого дня в TLS.

Строго запрещены:

  • DDoS атаки;
  • Получение физического доступа к серверам/инфраструктуре;
  • Угрозы/причинение вреда сотрудникам компании.

Вознаграждение за обнаружение уязвимостей видов XSS и СSRF выплачивается, только если они затрагивают чувствительные данные пользователя и срабатывают сразу при переходе на специально сформированную страницу, не требуя от пользователя дополнительных действий.

Что произойдет после отправки сообщения об уязвимости?

После отправки сообщения вы получите автоматически сгенерированное письмо с номером вашей заявки — это означает, что Spaser получил ваше сообщение об ошибке. Если вы хотите сообщить нам дополнительную информацию об уязвимости, напишите об этом прямо в ответе на полученное письмо.

Наши специалисты обработают ваше обращение и при необходимости свяжутся с вами для уточнения деталей. Обычно это происходит в течении 5 рабочих дней (но обычно сильно быстрее). Максимальный срок обработки заявки — 10 рабочих дней.

В случае присуждения награды мы попросим вас прислать реквизиты, необходимые для денежного перевода.

Награда прямо пропорционально зависит от серьезности уязвимости и детализации описания в отчете.

Spaser негативно относимся к эксплуатации найденных уязвимостей, что означает полный отказ в выплате награды за нее.

Обращаем ваше внимание на то, что Spaser награждает пользователя, который первым сообщил о проблеме. Если вы обнаружили уязвимость — сообщите нам об этом как можно скорее.

Можно ли получить вознаграждение на счет в PayPal или другой электронной платежной системе?

Spaser выплачивает вознаграждение через банковские переводы. Вознаграждение выплачивается в долларах США компанией Spaser B.V. или её дочерними компаниями.
Для резидентов Российской Федерации и Республики Беларуси вознаграждение выплачивается АО «Спэйсэр» или её дочерними компаниями в российских рублях эквивалентой вознаграждению в долларах США по курсу ЦБ РФ.

наверх
Настройки ресурса
Цвет темы
Диагностика
IP-адрес
Браузер
Server–ID
Хост