Убийца багов
Редакия от 01.10.20
Описание
Spaser RUS выплачивает награды за обнаружение проблем в безопасности своих сервисов и приложений.
Редакия от 01.10.20
Описание
Spaser RUS выплачивает награды за обнаружение проблем в безопасности своих сервисов и приложений.
Spaser RUS выплачивает награды за обнаружение проблем в безопасности своих сервисов и приложений. Любой желающий может попытаться найти уязвимость, сообщить нам об этом и получить денежный приз.
1. Где искать
В инфраструктуре, веб-сервисах, в мобильных приложениях Spaser RUS для устройств на iOS и Android, которые так или иначе работают с личной информацией пользователей. Личная информация — это, например, логины и пароли, переписка, фото- и видеоальбомы.
Веб-сервисы: на доменах spaser.pw, spaserrus.ru.
Мобильные приложения: ANICS. Кабинет, Talon, Spaser AUR, Spaser EMail, ANICS.Реклама, ANICS.Календарь.
Инфраструктура: вся автономная система Spaser RUS за исключением адресов внешних проектов, расположенных в инфраструктуре Spaser RUS.
2. Куда и как сообщать
Отправлять сообщения об ошибках лучше всего на [email protected]: так Spaser RUS сможет быстрее обработать присланную информацию и ответить вам.
3. Что искать
Уязвимости — технические недостатки, с помощью которых можно нарушить целостность или конфиденциальность пользовательской информации, а также изменить права доступа к ней.
В качестве классификации уязвимостей для веб-сервисов используется OWASP Top-10 версии 2010 года, для мобильных приложений — OWASP Mobile Top-10.
Классификация уязвимостей инфраструктуры:
- Несанкционированный доступ к сетевому и хостовому оборудованию Spaser RUS;
- Неправомерное использование инфраструктуры Spaser RUS (рассылка спама, DDoS);
- Утечка критичной информации (приватные ключи, пароли).
В зависимости от уровня опасности и качества отчета цена вознаграждения может меняться, ниже указан ориентировочный уровень вознаграждений.
4. Размеры наград
Сервисы.
Классификация уязвимости по OWASP Top-10 | Размер награды |
---|---|
A01. Инъекции | 43000 - 170000 руб. |
A02. Межсайтовый скриптинг – A05. Межсайтовая подделка запросов | 8500 - 17000 руб. |
A06. Ошибки конфигурации веб-окружения – A10. Открытое перенаправление | 5500 - 8500 руб. |
Мобильные приложения.
Классификация уязвимости по OWASP Mobile Top-10 | Размер награды |
---|---|
M01. Небезопасное хранилище данных – M05. Недостатки в механизмах аутентификации и авторизации | 8500 - 17000 руб. |
M06. Недостатки в управлении сессией – M08. Утечка данных | 5500 - 8500 руб. |
В особых случаях размер награды может быть увеличен.
5. Ограничения и политика ответственного разглашения
Spaser RUS вручает награды только за обнаружение новых уязвимостей.
Участвовать в «Убийстве» могут пользователи в возрасте от 14 лет. При этом те, кто младше 18, принимают участие только с письменного согласия родителей.
Сотрудники Spaser RUS или компаний-партнёров, а также авторы кода, в котором обнаружена уязвимость, не могут участвовать в «Убийстве».
Для тестирования и демонстрации уязвимостей можно использовать только свою учётную запись ANICS. Взламывать чужие учётные записи ANICS ни в коем случае нельзя.
В течение 90 дней после отправки сообщения об ошибке о ней нельзя никому и нигде рассказывать. Также, пожалуйста, не размещайте код обнаруженной уязвимости на публично доступных сервисах и ресурсах, чтобы информация не стала доступна третьим лицам.
6. Вопросы и ответы
За какие уязвимости награда не вручается?
Spaser RUS не выплачивает вознаграждение за:
- Сообщения об уязвимостях, найденных на сторонних сайтах и сервисах, взаимодействующих со Spaser RUS;
- Сообщения об уязвимости паролей и других аутентификационных данных пользователей;
- Сообщения об уязвимостях, которые найдены во внешних проектах, расположенных в Spaser ANICS. Для определения принадлежности адреса вы можете воспользоваться протоколом WHOIS;
- Предупреждения о возможных DDoS-атаках на Spaser RUS;
- Сообщения о применении фишинга и других техник социальной инженерии;
- Отчеты сканеров безопасности;
- Информацию об IP-адресах, DNS-записях и открытых портах Spaser RUS;
- Информацию об использовании устаревшего или потенциально уязвимого ПО, полученную методом Banner grabbing;
- Сообщения об ошибках нулевого дня в TLS.
За сообщение об ошибке в работе сервисов, расположенных на доменах night.spaser.pw, player.spaserrus.ru, share.spaser.pw и static.spaser.pw, вознаграждение выплачивается, только если это уязвимость вида «Инъекции» или «Ошибки конфигурации веб-окружения».
Вознаграждение за обнаружение уязвимостей видов XSS и СSRF выплачивается, только если они затрагивают чувствительные данные пользователя и срабатывают сразу при переходе на специально сформированную страницу, не требуя от пользователя дополнительных действий.
Что произойдет после отправки сообщения об уязвимости?
После отправки сообщения вы получите автоматически сгенерированное письмо с номером вашей заявки — это означает, что Spaser RUS получил ваше сообщение об ошибке. Если вы хотите сообщить нам дополнительную информацию об уязвимости, напишите об этом прямо в ответе на полученное письмо.
Наши специалисты обработают ваше обращение и при необходимости свяжутся с вами для уточнения деталей. Максимальный срок обработки заявки — 45 рабочих дней.
В случае присуждения награды мы попросим вас прислать реквизиты, необходимые для денежного перевода.
Обращаем ваше внимание на то, что Spaser RUS награждает пользователя, который первым сообщил о проблеме. Если вы обнаружили уязвимость — сообщите нам об этом как можно скорее.
Можно ли получить вознаграждение на счет в PayPal или другой электронной платежной системе?
Spaser RUS выплачивает вознаграждение через банковские переводы. Участники — нерезиденты РФ и иностранные граждане получают вознаграждение в долларах США по текущему курсу ЦБ РФ.