Bug Bounty Bug Bounty Bug Bounty

🐞 Что такое баг-баунти?

Баг-баунти (от англ. bug bounty) — открытый конкурс по поиску уязвимостей в продукте. Есть несколько подходов к тестированию сервисов. Стандартный — когда тестировщики из команды сами проверяют сервис до её выхода. А также, второй, необычный — баг-баунти. Это конкурс, где хакерам и программистам предлагают найти баги и уязвимости в сервисе за вознаграждение. Работает это примерно так:

1. Компания анонсирует конкурс, для поиска проблем и уязвимостей в своем проекте.
2. Объявляет примерные диапазоны цен за разные уровни уязвимостей и багов;
3. Тестировщики, программисты и белые хакеры занимаются поиском проблем в продукте и отправляют их в компанию;
4. Компания награждает за успешно найденные уязвимости, баги и проблемы в своем программном обеспечении;

👨‍💻 Зачем это нам?

Баг-баунти для нас — это возможность сделать свои продукты еще лучше и показать, что наши сервисы надежны. Ежедневно наш проект расширяется и масштабируется, что требует постоянной отладки и отслеживания всех процессов. К нам часто обращаются наши пользователи, которые связаны с IT сферой и на добровольной основе подсказывают о тех или иных багах. Систематизируя данные процессы, мы сможем вознаграждать каждого, кто поможет нам стать лучше.

🏆 Вознаграждения

Обозначить жесткие границы и цены вознаграждения – достаточно сложно, так как уязвимости и баги могут быть совершенно разного характера и нести разной тяжести вред для сервиса. Однако, мы постарались разработать некую шкалу, которая позволит вам примерно оценивать ваши трудозатраты по их значимости.

В случае с фродом вознаграждение зависит от возможности масштабирования конкретного способа такого мошенничества, простоты его использования и степени причиняемого ущерба. Решение об уровне критичности принимается совместно с нашими разработчиками. На это может уйти некоторое время, в среднем до 2-4 недель.

🚫 Исключения

AvanChange не выплачивает вознаграждение за:

• фрод, который требует массовых и одновременных действий большого количества пользователей;
• медленный перебор с использованием множества учётных записей не входят в рамки конкурса;
• социальную инженерию сотрудников AvanChange;
• раскрытие публичной пользовательской информации;
• проблемы и уязвимости, которые основаны на версии используемого продукта, без демонстрации эксплуатации;
• сообщения об ошибках нулевого дня в TLS
• отчеты о небезопасных шифрах SSL/TLS без демонстрации эксплуатации;
• отсутствие SSL и других BCP (best current practice);
• проблемы отсутствия механизмов безопасности без демонстрации эксплуатации, которая может затронуть данные пользователей. Например, отсутствие CSRF-токенов, Clickjacking и т. д.;
• Reflected download, same site scripting и другие атаки с сомнительным влиянием на безопасность сервиса;
• отсутствие CSP-политик на домене или небезопасная конфигурация CSP;
• XSS и CSRF, которые требуют дополнительных действий от пользователя. Вознаграждение выплачивается, только если они затрагивают чувствительные данные пользователя и срабатывают сразу при переходе на специально сформированную страницу, не требуя от пользователя дополнительных действий;
• XSS, которая требует внедрения или подделки какого-либо заголовка, например, Host, User-Agent, Referer, Cookie и т. д.
• Content spoofing, content injection или text injection без доказанного влияния на безопасность;
• наличие или отсутствие записей SPF и DKIM;
• атаки, требующие физического доступа к устройству пользователя;

📊 Статистика

🏁 Хочу участвовать — с чего начать?

У нас нет жестких требований к участникам баг-баунти. Любой желающий может попробовать свои силы и получить за это вознаграждение! При выявлении уязвимостей, просим составить отчетный документ, где будут описаны сами уязвимости и методы их эксплуатации. Документ с отчетом нужно отправить на E-mail: code@avanchange.com.