Bug Bounty

Zależy nam na tym, aby dane użytkowników były bezpieczne, dlatego jesteśmy gotowi współpracować z osobami, które wyszukują luki i nagradzają je.

Nagroda

Hosting.XYZ LTD zapewnia nagrodę za znalezione luki w zabezpieczeniach. Minimalna wysokość wynagrodzenia to 50$, maksymalnie - 500$... Wysokość nagrody zależy od poziomu podatności, który zależy od tego, jak realistyczne jest wykorzystanie luki:

  1. Wysoki poziom - do 500$. Dostęp do centralnej bazy danych, dostęp do kodu źródłowego, wykonywanie dowolnych poleceń na serwerze centralnym, wykonywanie dowolnych poleceń na serwerze hostingowym jako root, czy dostęp do konta bez udziału właściciela konta.
  2. Poziom średni - do 250$. Ataki, które wymagają od użytkownika kliknięcia określonego linku.
  3. Niski poziom - do 150$... Potencjalne ataki, które są trudne do przeprowadzenia lub w przypadku których musi zbiegać się duża liczba czynników. Ataki, które:
    • Nie powodują eskalacji uprawnień.
    • Nie powodują dostępu do danych użytkownika.
  4. Wszystkie ataki XSS wymagające podążania za łączem są ograniczone do 50$.

Raporty

Aby zwiększyć zaufanie do stron, proces zgłaszania podatności realizowany jest według następującego algorytmu:

  1. Piszesz do email zapytanie o możliwość złożenia raportu... Powiemy Ci, że jesteśmy gotowi zaakceptować nową lukę. Zrobimy to tylko wtedy, gdy nie będziemy mieć innych luk w naszej pracy. Skoro może zaistnieć sytuacja, że ktoś już zgłosił tę samą podatność i okaże się, że wysłałeś podatność, ale nie otrzymasz za nią nagrody.
  2. Po uzyskaniu zgody sprawdzasz możliwość wykorzystania luki.
  3. Prześlij tylko jeden błąd... Nie powinieneś wysyłać wielu błędów na raz, ponieważ często zdarzają się sytuacje, gdy luka jest zamknięta, jest natychmiast zamykana w innych miejscach. W końcu jeden wiersz kodu można wywołać z setek miejsc w programie.
  4. Badamy wpływ i rzeczywistość wykorzystania luki.
  5. Naprawiamy błąd.
  6. Wynagrodzenie wypłacamy na PayPal, rachunek bieżący, kartę, konto WebMoney. Nie mamy możliwości dokonywania płatności w kryptowalutach (Bitcoin i innych), ponieważ ich nie używamy.

Warunki

  1. Program nie obejmuje rozwoju stron trzecich, luk w systemie operacyjnym zero-day, błędów rdzeni procesorów i innych luk, na które nie mamy wpływu.
  2. Program dotyczy tylko serwisu ukraine.com.ua, auth.adm.tools i adm.tools.
  3. Nie wykorzystuj wykrytej luki w zabezpieczeniach do zmiany informacji lub uzyskania do nich nieautoryzowanego dostępu. Użyj swojego konta do testowania.
  4. Daj nam znać jak najszybciej, jeśli przypadkowo zmieniłeś dane, które nie powinny być zmieniane. Nie przeglądaj, nie modyfikuj ani nie zapisuj danych uzyskanych w przypadku wystąpienia luki.
  5. Działaj z dobrą intencją, aby nie naruszać prywatności innych użytkowników, nie wyłączaj usług.
  6. Działaj zgodnie z prawem.
  7. Nagroda trafia do pierwszej osoby, która zgłosi lukę.
  8. Opublikowanie podatności w Internecie przed jej usunięciem może skutkować anulowaniem nagrody Nie będziemy negocjować w odpowiedzi na groźby (na przykład nie będziemy negocjować kwoty wypłaty pod groźbą ukrycia podatności lub grożąc ujawnieniem podatności lub ujawnieniem opinii publicznej).
  9. Szybkość przetwarzania błędów zależy od wagi błędów i obciążenia programistów i trwa od 3 do 30 dni.

Podatności, za które nie wypłaca się wynagrodzenia

Poniższe pytania są poza zakresem naszego programu nagród:

  1. Nasza polityka dotycząca obecności/braku zapisów SPF/DMARC.
  2. Zasady dotyczące haseł, e-maili i kont, takie jak weryfikacja identyfikatora e-mail, wygaśnięcie linku resetowania, złożoność hasła
  3. Brak tokenów CSRF (jeśli nie ma dowodów na faktyczne, poufne działanie użytkownika, które nie jest chronione tokenem).
  4. Ataki wymagające fizycznego dostępu do urządzenia użytkownika. A także ataki związane z przechwytywaniem ruchu.
  5. Nie ma nagłówków bezpieczeństwa, które nie prowadzą bezpośrednio do luki.
  6. Brak najlepszych praktyk (potrzebujemy dowodów na podatność systemu).
  7. Umieszczanie złośliwych/arbitralnych treści na hostingu.
  8. Wszelkie ataki skierowane na siebie, takie jak Self-XSS.
  9. Przyjmiemy zgłoszenia o lukach w systemie operacyjnym i produktach firm trzecich, ale nie będziemy ich nagradzać.
  10. Wstrzyknięcia nagłówka hosta, jeśli nie możesz pokazać, w jaki sposób mogą prowadzić do kradzieży danych użytkownika.
  11. Korzystanie ze znanej podatnej biblioteki (brak dowodu użycia).
  12. Raporty z automatycznych narzędzi lub skanów.
  13. Luki mające wpływ na użytkowników przestarzałych przeglądarek lub platform.
  14. Socjotechnika pracowników lub kontrahentów Hosting.XYZ LTD.
  15. Obecność atrybutu autouzupełniania w formularzach internetowych.
  16. Brakujące flagi plików cookie dla niewrażliwych plików cookie.
  17. Raporty o niezabezpieczonych szyfrach SSL / TLS (chyba że masz działający dowód koncepcji, a nie tylko raport ze skanera).
  18. Możliwość ustalenia, czy użytkownik jest zarejestrowany na hostingu, jeśli jego adres e-mail jest znany.
  19. Wszelkie zgłoszenia dotyczące obchodzenia naszych ograniczeń usług.
  20. Luki w zabezpieczeniach dotyczące fałszowania treści (gdy na stronie można wstawić tylko tekst lub obraz) są poza zakresem. Zaakceptujemy i naprawimy usterkę dotyczącą fałszowania, w której atakujący może wprowadzić obraz lub tekst sformatowany (HTML), ale nie kwalifikuje się do nagrody. Wprowadzenie czystego tekstu jest poza zakresem.
  21. Utwórz wiele kont przy użyciu tego samego adresu e-mail.
  22. Ryzyko phishingu z powodu problemów z Unicode / Punycode lub RTLO.
  23. Luka wynikająca z wyłączenia DMARC. Nie oznacza to, że serwery innych firm ignorują rekordy SPF i akceptują wiadomości e-mail z usług innych firm (w tym Gmaila).
  24. Wszelkiego rodzaju ataki typu flood i bruteforce, DoS i DDoS, a także ataki związane ze spadkiem wydajności serwera.
  25. Ataki, w których atakujący zna z góry login, hasło i dwustopniowy kod uwierzytelniający.
  26. Ataki, w których atakujący zna login i hasło z poczty, na którą zarejestrowane jest konto hostingowe, lub ma dostęp do telefonu użytkownika. 15.07.2021
  27. Brak nagłówków bezpieczeństwa COEP, COOP, CORS, CORB, Referrer-policy, Content-Security-Policy, HSTS, Cookie-prefix, SameSiteCookie ... 08/29/2021
  28. Dostępność informacji o używanym oprogramowaniu. Jesteśmy dostawcą usług hostingowych i informujemy klientów o zainstalowanym oprogramowaniu. Dlatego te informacje nie mogą być sklasyfikowane. 29.08.2021
  29. Uzyskanie adresu IP pracownika firmy nie stanowi luki w zabezpieczeniach. Pomoc techniczna otwiera linki, możesz wysłać link phishingowy lub plik SVG na pocztę itp. 24.11.2021
  30. Obecność danych EXIF na zdjęciach przesłanych przez użytkowników. Nasi klienci nie publikują na naszej stronie swoich osobistych zdjęć, które mogą zawierać EXIF wraz ze współrzędnymi. 30.11.2021
  31. Ładowanie plików SVG. Zapisujemy je jako załączniki i nie wyświetlamy na stronie. Pozwala to uniknąć pobierania danych z witryny. 01.12.2021
  32. Social Engeneering Attacks. 18/07/2022

Postanowienia końcowe

  1. Jesteś odpowiedzialny za opłacenie wszelkich podatków związanych z nagrodami.
  2. Możemy zmienić warunki tego programu lub zakończyć go w dowolnym momencie. Nie będziemy stosować żadnych zmian wprowadzonych do niniejszych warunków programu z mocą wsteczną.
  3. Pracownicy Hosting.XYZ LTD i członkowie ich rodzin nie są uprawnieni do wynagrodzenia.
  4. Hosting Ukraina może zapewnić Ci bezpłatny dostęp do produktów. Dostęp ten służy wyłącznie do celów testowych i może zostać cofnięty w dowolnym momencie z uprzednim powiadomieniem lub bez niego.