Правила программы поиска уязвимостей в Бегете

Область действия

Где искать уязвимости

Уязвимости можно искать на всех наших ресурсах, а именно – *.beget.com, *.beget.ru. Однако максимальные выплаты подразумеваются только за обнаружение проблем в нижеперечисленных сервисах. Все остальные ресурсы идут с пониженным (в некоторых случаях нулевым) коэффициентом для вознаграждения.

Сервисы для поиска уязвимостей:

• Виртуальный хостинг (https://beget.com/ru/hosting/virtual)
• Виртуальные приватные серверы (https://beget.com/ru/vps)
• Облачные базы данных (https://beget.com/ru/cloud/dbaas-mysql, https://beget.com/ru/cloud/dbaas-postgresql)
• Объектное хранилище S3 (https://beget.com/ru/cloud/storage)
• Сервис регистрации доменов (https://beget.com/ru/domains)
• Сервис заказа SSL

Какие уязвимости искать

Мы в первую очередь заинтересованы в критических уязвимостях на стороне сервера. При этом нахождение других типов уязвимостей также приветствуется. Если вы сомневаетесь, стоит ли связываться с нами по поводу обнаруженной проблемы, посмотрите, нет ли ее в списке “Что не нужно присылать”. В случае если она там отсутствует, смело отправляйте отчет с детальным описанием проблемы на bugbounty@beget.com.

Примеры уязвимостей, за которые мы с радостью выплатим вознаграждение (список далеко не полный):

• Удаленное исполнение кода (RCE)
• Инъекции (например, SQL-инъекции или XML-инъекции)
• LFR/LFI/RFI
• SSRF
• Утечки памяти
• Уязвимости контроля доступа
• Раскрытие чувствительной информации
• Угон аккаунта
• Недостатки аутентификации/авторизации
• XSS и CSRF с воздействием на чувствительные данные
• Повышение привилегий в системе до уровня root
• Получение доступа к системным базам данных
• Получение доступа к пользовательским данным

Для облачных услуг:

• Любое воздействие на чужие виртуальные машины (нарушение конфиденциальности, целостности, доступности)
• Любые способы модификации данных других пользователей
• Выход из виртуальной машины (контейнера), получение доступа к хостовой машине
• Доступ к сетевой инфраструктуре (серая сеть), который позволяет реализовать вредоносный импакт
• Логические ошибки, которые могут возникнуть на узле при создании/удалении VDS, создании/удалении резервной копии, при перезагрузке/включении/выключении

Особое внимание:

• Получение доступа к хостовой машине из виртуального сервера
• Проникновение в машину с DBaaS-сервисом
• Уязвимости DBaaS (уязвимые версии MySQL/PG и т. п., заказываемых в настоящий момент из ПУ)

Что не нужно присылать

• Сообщения об уязвимостях в сервисах, не относящихся к непосредственным услугам, оказываемым компанией “Бегет”
• Сообщения о мошеннических схемах, злоупотреблении легитимным функционалом (такие сообщения рекомендуем присылать в чат поддержки, вознаграждение за подобные репорты в рамках Bug Bounty не полагается)
• Проблемы, никак не связанные с безопасностью
• Сообщения о возможных DDOS-атаках
• Информация об IP-адресах, DNS-записях и открытых портах
• Сообщения о применении фишинга и других техник социальной инженерии
• Отчеты сканеров уязвимостей и других автоматизированных средств
• Clickjacking
• Разглашение публичной информации о пользователях
• Сообщения о недостатках использования четырехсимвольных СМС-кодов

Что не претендует на вознаграждение

• Self-XSS, XSS в непопулярных или устаревших браузерах, Flash-based XSS
• CSRF и XSS без воздействия на чувствительные данные
• Отсутствие рекомендованных механизмов защиты
• Ошибки в настройке CORS
• Использование устаревшего или потенциально уязвимого стороннего ПО
• Атаки, связанные с мошенничеством или кражей
• Возможность неограниченной отправки СМС и email
• Атаки типа DOS
• Небезопасно сконфигурированные TLS или SSL
• Разглашение информации о существовании в системе данного имени пользователя, email или номера телефона
• Full Path Disclosure
• Разглашение технической или нечувствительной информации
• Open Redirect без дополнительного вектора атаки
• Подмена контента на странице
• Tabnabbing
• Уязвимости, требующие выполнения сложного или маловероятного сценария взаимодействия с пользователем
• Уязвимости, необходимым условием эксплуатации которых является наличие вредоносного ПО, root-прав или jailbreak на устройстве
• Атаки, требующие MITM чужого соединения или физической близости с чужим устройством
• Маловероятные или теоретические атаки без доказательств возможности их осуществления – без детального описания вектора атаки и доказательств потенциального нанесения ущерба или вреда

Правила участия

Участвуя в нашей программе Bug Bounty, вы подтверждаете, что прочитали и согласились с “Правилами участия”. Нарушение любого из этих правил может привести к лишению права на вознаграждение.

Общие правила

• Область действия программы Bug Bounty ограничивается техническими уязвимостями в сервисах компании
• При обнаружении 0-day или 1-day уязвимости, официальный патч которой был менее недели назад, выплата награды осуществляется на усмотрение команды безопасности Бегета и рассматривается в каждом конкретном случае

Правила тестирования

• Для проведения тестирования используйте только свои собственные учетные записи либо учетные записи пользователей, которые явно выразили свое согласие, либо учетные записи, предоставленные для тестирования с бонусными тарифами
• Во время поиска уязвимостей следует избегать нарушения конфиденциальности, целостности и доступности информации в наших сервисах
• Запрещена любая деятельность, которая может нанести ущерб приложениям компании, ее инфраструктуре, клиентам и партнерам
• Для подтверждения наличия уязвимости используйте минимально возможный POC (proof of concept)
• Дальнейшая эксплуатация уязвимостей строго запрещена
• Автоматическое сканирование должно быть ограничено 5 запросами в секунду

Политика раскрытия информации об уязвимостях

• Запрещено раскрывать уязвимости или делиться какими-либо подробностями без письменного разрешения команды безопасности Бегета
• Мы оставляем за собой право отклонить любой запрос на публичное раскрытие отчета

Идентификация трафика

Существует вероятность того, что трафик, сгенерированный внешними исследователями безопасности, может быть классифицирован как вредоносный. Для предотвращения возникновения связанных с данным фактом проблем, пожалуйста, добавляйте следующий HTTP заголовок ко всем исходящим запросам – X-Bug-Bounty: Username.

Политика тестирования RCE

Тестирование уязвимостей, которые могут приводить к удаленному исполнению кода, должно выполняться в соответствии с данной политикой.

Во время тестирования запрещены любые действия на сервере, кроме:

• Выполнения команд ifconfig (ipconfig), hostname, whoami
• Чтения содержимого файлов /etc/passwd и /proc/sys/kernel/hostname
• Создания пустого файла в каталоге текущего пользователя

При необходимости проведения иных действий необходимо предварительно согласовать их с нашей командой безопасности.

Политика тестирования SQL-инъекций

Тестирование уязвимостей, которые могут приводить к внедрению команд SQL, должно выполняться в соответствии с данной политикой.

Во время тестирования запрещены любые действия на сервере, кроме:

• Получения данных о текущей БД
• Получения версии БД
• Получения информации о текущем пользователе
• Получения схемы БД
• Получения списка таблиц
• Получения имен столбцов в таблицах
• Выполнения математических, конверсионных или логических запросов без извлечения данных

При необходимости проведения иных действий необходимо предварительно согласовать их с нашей командой безопасности.

Политика загрузки и чтения файлов

Тестирование уязвимостей, которые могут приводить к чтению произвольных файлов на сервере или произвольной загрузке файлов, должно выполняться в соответствии с данной политикой.

Запрещенные действия при загрузке файлов:

• Изменение, модификация, удаление и замена любых файлов на сервере
• Загрузка файлов, которые могут вызвать отказ в обслуживании
• Загрузка вредоносных файлов

При получении возможности чтения произвольных файлов на сервере запрещены любые действия, кроме чтения определенных файлов. При необходимости проведения иных действий необходимо предварительно согласовать их с нашей командой безопасности.

Вознаграждения

Мы выплачиваем вознаграждения внешним исследователям безопасности только за обнаружение ранее неизвестных проблем при выполнении всех “Правил участия”.

Все отчеты об уязвимостях рассматриваются индивидуально в зависимости от критичности системы, в которой обнаружена уязвимость, и критичности самой уязвимости.

• Critical - до 400 000 рублей
• High - до 75 000 рублей
• Medium - до 25 000 рублей
• Low - до 2 500 рублей

Отдельно рассматриваются

• Хранимая XSS - 3 000 ₽ - 10 000 ₽
• XSS кроме Self-XSS - 1 000₽ - 5 000 ₽

Определение критичности уязвимости

Мы оставляем за собой право принимать окончательное решение в отношении серьезности найденной уязвимости. После получения отчета мы проводим внутреннее расследование и определяем степень критичности, учитывая множество факторов, в том числе:

• Уровень привилегий, необходимый для реализации атаки
• Трудность обнаружения и эксплуатации
• Наличие требования взаимодействия с пользователем
• Влияние на целостность, доступность и конфиденциальность затронутых данных
• Влияние на бизнес-риски и репутационные риски
• Количество затронутых пользователей

Как зарегистрировать учетные записи для исследований

• Зарегистрироваться, используя свои регистрационные данные (ФИО, телефон, email);
• После регистрации в исследуемых продуктах сообщите нам логин от Вашего тестового аккаунта;
• Отправить письмо на почту bugbounty@beget.com с указанными данными, и мы зачислим бонусный платеж для тестирования.

Описание программы на нашем сайте: https://beget.com/ru/security

Уведомление о найденных уязвимостях

Для уведомления о найденных уязвимостях необходимо прислать отчет на email: security@beget.com. В случае неотложных вопросов необходимо обратиться в нашу техническую поддержку (https://cp.beget.com/support) с пометкой, что вопрос касается программы Bug Bounty.