Програма Bug Bounty

Огляд

Ми вважаємо безпеку наших систем найвищим пріоритетом. Жодна система не є досконалою, і в будь-якій технології завжди можуть бути вади. Ми із задоволенням співпрацюємо з досвідченими дослідниками безпеки для захисту наших клієнтів.

Якщо ви вважаєте, що виявили проблему безпеки в нашому продукті або послузі, ми заохочуємо вас повідомити нас.

Вказівки щодо відповідального розкриття

• Повідомте нас якомога швидше після виявлення потенційної проблеми безпеки, і ми докладемо всіх зусиль для її швидкого вирішення.
• Надайте нам розумний час для вирішення проблеми до будь-якого публічного розкриття або розкриття третій стороні.
• Без несанкціонованого самозванства: будь-які спроби соціальної інженерії щодо іншої сторони шляхом видавання себе за співробітника BelHost, іншого дослідника або команду безпеки не допускатимуться.
• Якщо ви дотримуєтесь усіх умов, викладених у цих вказівках, ми не вживатимемо жодних правових заходів проти вас щодо вашого повідомлення.
• Ваше повідомлення зберігатиметься конфіденційно. Ми не ділитимемось вашою особистою інформацією з третіми сторонами без попередньої згоди, якщо це не потрібно для виконання юридичного зобов'язання.

Винагороди

На знак нашої вдячності BelHost пропонує винагороди за повідомлення про кваліфіковані вразливості безпеки. Винагороди можуть бути надані як грошова компенсація або товари BelHost. Розмір винагороди залишається на розсуд BelHost і ґрунтується на внутрішній оцінці серйозності розкритої вразливості. Винагорода буде повідомлена після перевірки нашими внутрішніми командами.

Критерії участі

Щоб претендувати на винагороду, необхідно:

1. Бути першим, хто повідомив про вразливість.
2. Дотримуватися вказівок, описаних на цій сторінці.
3. Не розкривати вразливість публічно до нашого вирішення.
4. Надати робочий доказ концепції, що використовує проблему безпеки.
5. Використовувати лише власноруч створені облікові записи та не отримувати доступ до даних інших користувачів.
6. Не бути жителем жодної країни, включеної до списку спеціально визначених громадян і заблокованих осіб (SDN).
7. Не бути жителем жодної країни, включеної до Зведеного списку осіб, груп та організацій, що підпадають під фінансові санкції ЄС.

Абсолютні виключення

Наступні категорії виходять за межі застосування і, як правило, відповіді не отримають.

Соціальні та фізичні атаки

• Соціальна інженерія (включаючи фішинг)
• Будь-які фізичні спроби проти майна або центрів обробки даних BelHost
• Фізична атака на інфраструктуру

Тестування доступності та зловживань

• Відмова в обслуговуванні
• Брутфорс
• Звіти від автоматизованих інструментів та сканувань
• Відсутні обмеження частоти запитів

Малозначущі веб-проблеми

• CSRF
• Self-XSS
• Clickjacking та проблеми, що можна використати лише через clickjacking
• Підробка вмісту на сторінках помилок або ін'єкція тексту
• Атаки з використанням гомографів
• Відкриті перенаправлення
• Слабкий CAPTCHA / обхід CAPTCHA
• Проблеми, пов'язані з кешем

Знахідки лише конфігурації та заголовків

• Пов'язані з X-Frame-Options
• Відсутні прапори cookie
• Відсутні заголовки безпеки, що не ведуть безпосередньо до вразливості
• Відсутність noreferrer, noopener
• Проблеми DKIM/SPF/DMARC
• Розкриття версії
• Перелік каталогів
• Проблеми SSL
• Увімкнений метод HTTP OPTIONS
• Розкриття IP-адреси сервера

Граничні випадки облікового запису та автентифікації

• Тайм-аути сесій автентифікації (сесії прив'язані до IP з тайм-аутом 1 година)
• Повторне використання коду TOTP 2FA
• Перелік користувачів методом брутфорс
• Активація 2FA без підтвердження електронною поштою
• Перевірка пароля при зміні електронної пошти або 2FA
• Політика паролів
• Будь-яка атака, що вимагає доступу до комп'ютера користувача (фізичного або віддаленого)

Стороннє та непов'язане програмне забезпечення

• Помилки у сторонньому програмному забезпеченні
• Вразливості WordPress
• Будь-який вид вразливостей браузера
• Маніпуляції з параметрами для платіжних процесорів

Як повідомити

Будь ласка, надішліть свої початкові висновки на:

[email protected]