Bug Bounty
Zależy nam na tym, aby dane użytkowników były bezpieczne, dlatego jesteśmy gotowi współpracować z osobami, które wyszukują luki i nagradzają je.
We don't accept any XSS attack since 22 of April 2023 untill future notice.
Nagroda
Hosting.XYZ LTD zapewnia nagrodę za znalezione luki w zabezpieczeniach. Minimalna wysokość wynagrodzenia to 50$, maksymalnie - 1000$... Wysokość nagrody zależy od poziomu podatności, który zależy od tego, jak realistyczne jest wykorzystanie luki:
- Wysoki poziom - do 1000$. Dostęp do centralnej bazy danych, dostęp do kodu źródłowego, wykonywanie dowolnych poleceń na serwerze centralnym, wykonywanie dowolnych poleceń na serwerze hostingowym jako root.
- Poziom średni - do 250$.
- Niski poziom - do 150$. Potencjalne ataki, które są trudne do wykonania lub dla których musi pasować duża liczba czynników.
- Wszystkie ataki XSS wymagające podążania za łączem są ograniczone do 50$.
- Luki wykryte w wersjach alfa i beta usług są ograniczone do 150$. (29/11/2022)
Raporty
Aby zwiększyć zaufanie do stron, proces zgłaszania podatności realizowany jest według następującego algorytmu:
- Piszesz do email zapytanie o możliwość złożenia raportu... Powiemy Ci, że jesteśmy gotowi zaakceptować nową lukę. Zrobimy to tylko wtedy, gdy nie będziemy mieć innych luk w naszej pracy. Skoro może zaistnieć sytuacja, że ktoś już zgłosił tę samą podatność i okaże się, że wysłałeś podatność, ale nie otrzymasz za nią nagrody.
- Po uzyskaniu zgody sprawdzasz możliwość wykorzystania luki.
- Prześlij tylko jeden błąd... Nie powinieneś wysyłać wielu błędów na raz, ponieważ często zdarzają się sytuacje, gdy luka jest zamknięta, jest natychmiast zamykana w innych miejscach. W końcu jeden wiersz kodu można wywołać z setek miejsc w programie.
- Badamy wpływ i rzeczywistość wykorzystania luki.
- Naprawiamy błąd.
- Wynagrodzenie wypłacamy na PayPal, rachunek bieżący lub kartę. Nie mamy możliwości dokonywania płatności w kryptowalutach (Bitcoin i innych), ponieważ ich nie używamy.
Warunki
- Program nie obejmuje rozwoju stron trzecich, luk w systemie operacyjnym zero-day, błędów rdzeni procesorów i innych luk, na które nie mamy wpływu.
- Program dotyczy wyłącznie stworzonego przez nas oprogramowania, które znajduje się na stronach internetowych ukraine.com.ua, auth.adm.tools, webmail.online i adm.tools.
- Nie wykorzystuj wykrytej luki w zabezpieczeniach do zmiany informacji lub uzyskania do nich nieautoryzowanego dostępu. Użyj swojego konta do testowania.
- Daj nam znać jak najszybciej, jeśli przypadkowo zmieniłeś dane, które nie powinny być zmieniane. Nie przeglądaj, nie modyfikuj ani nie zapisuj danych uzyskanych w przypadku wystąpienia luki.
- Działaj z dobrą intencją, aby nie naruszać prywatności innych użytkowników, nie wyłączaj usług.
- Działaj zgodnie z prawem.
- Nagroda trafia do pierwszej osoby, która zgłosi lukę.
- Opublikowanie podatności w Internecie przed jej usunięciem może skutkować anulowaniem nagrody Nie będziemy negocjować w odpowiedzi na groźby (na przykład nie będziemy negocjować kwoty wypłaty pod groźbą ukrycia podatności lub grożąc ujawnieniem podatności lub ujawnieniem opinii publicznej).
- Szybkość przetwarzania błędów zależy od wagi błędów i obciążenia programistów i trwa od 3 do 30 dni.
Podatności, za które nie wypłaca się wynagrodzenia
Poniższe pytania są poza zakresem naszego programu nagród:
- Nasza polityka dotycząca obecności/braku zapisów SPF/DMARC.
- Zasady dotyczące haseł, e-maili i kont, takie jak weryfikacja identyfikatora e-mail, wygaśnięcie linku resetowania, złożoność hasła
- Brak tokenów CSRF (jeśli nie ma dowodów na faktyczne, poufne działanie użytkownika, które nie jest chronione tokenem).
- Ataki wymagające fizycznego dostępu do urządzenia użytkownika. A także ataki związane z przechwytywaniem ruchu.
- Nie ma nagłówków bezpieczeństwa, które nie prowadzą bezpośrednio do luki.
- Brak najlepszych praktyk (potrzebujemy dowodów na podatność systemu).
- Umieszczanie złośliwych/arbitralnych treści na hostingu.
- Wszelkie ataki skierowane na siebie, takie jak Self-XSS.
- Przyjmiemy zgłoszenia o lukach w systemie operacyjnym i produktach firm trzecich, ale nie będziemy ich nagradzać.
- Wstrzyknięcia nagłówka hosta, jeśli nie możesz pokazać, w jaki sposób mogą prowadzić do kradzieży danych użytkownika.
- Korzystanie ze znanej podatnej biblioteki (brak dowodu użycia).
- Raporty z automatycznych narzędzi lub skanów.
- Luki mające wpływ na użytkowników przestarzałych przeglądarek lub platform.
- Socjotechnika pracowników lub kontrahentów Hosting.XYZ LTD.
- Obecność atrybutu autouzupełniania w formularzach internetowych.
- Brakujące flagi plików cookie dla niewrażliwych plików cookie.
- Raporty o niezabezpieczonych szyfrach SSL / TLS (chyba że masz działający dowód koncepcji, a nie tylko raport ze skanera).
- Możliwość ustalenia, czy użytkownik jest zarejestrowany na hostingu, jeśli jego adres e-mail jest znany.
- Wszelkie zgłoszenia dotyczące obchodzenia naszych ograniczeń usług.
- Luki w zabezpieczeniach dotyczące fałszowania treści (gdy na stronie można wstawić tylko tekst lub obraz) są poza zakresem. Zaakceptujemy i naprawimy usterkę dotyczącą fałszowania, w której atakujący może wprowadzić obraz lub tekst sformatowany (HTML), ale nie kwalifikuje się do nagrody. Wprowadzenie czystego tekstu jest poza zakresem.
- Utwórz wiele kont przy użyciu tego samego adresu e-mail.
- Ryzyko phishingu z powodu problemów z Unicode / Punycode lub RTLO.
- Luka wynikająca z wyłączenia DMARC. Nie oznacza to, że serwery innych firm ignorują rekordy SPF i akceptują wiadomości e-mail z usług innych firm (w tym Gmaila).
- Wszelkiego rodzaju ataki typu flood i bruteforce, DoS i DDoS, a także ataki związane ze spadkiem wydajności serwera.
- Ataki, w których atakujący ma dostęp do poczty elektronicznej lub telefonu ofiary.
- Brakujące nagłówki zabezpieczeń COEP, COOP, CORS, CORB, polityka odsyłająca, polityka bezpieczeństwa treści, HSTS, prefiks pliku cookie, SameSiteCookie...
- Dostępność informacji o używanym oprogramowaniu. Jesteśmy dostawcą usług hostingowych i informujemy klientów o zainstalowanym oprogramowaniu. Dlatego te informacje nie mogą być sklasyfikowane.
- Uzyskanie adresu IP pracownika firmy nie jest luką. Pomoc techniczna otwiera linki, możesz wysłać link phishingowy lub plik SVG na pocztę itp.
- Obecność danych EXIF w plikach graficznych przesyłanych przez użytkowników. Nasi klienci nie publikują na naszej stronie swoich osobistych zdjęć, które mogą zawierać EXIF z cennymi współrzędnymi.
- Ładowanie plików SVG. Zapisujemy je jako załączniki i nie wyświetlamy ich w serwisie. Pozwala to uniknąć pobierania danych z witryny.
- Social Engeneering Attacks.
- Obecność rekordów CAA w DNS.
- «„Przyjazne ataki” przeprowadzane przez użytkowników, którym ofiara przyznała dostęp do usług. 16.05.2023
- Wszelkie publiczne Luki CVE, CWE w publicznym oprogramowaniu, certyfikatach itp.
- Ataki wymagające fizycznego dostępu do komputera ofiary. 26/01/2024
Postanowienia końcowe
- Jesteś odpowiedzialny za opłacenie wszelkich podatków związanych z nagrodami.
- Możemy zmienić warunki tego programu lub zakończyć go w dowolnym momencie. Nie będziemy stosować żadnych zmian wprowadzonych do niniejszych warunków programu z mocą wsteczną.
- Pracownicy Hosting.XYZ LTD i członkowie ich rodzin nie są uprawnieni do wynagrodzenia.
- Hosting Ukraina może zapewnić Ci bezpłatny dostęp do produktów. Dostęp ten służy wyłącznie do celów testowych i może zostać cofnięty w dowolnym momencie z uprzednim powiadomieniem lub bez niego.