SMS-ACTIVATE
Browser
Правила участия в программе Bug Bounty
Добро пожаловать в программу Bug Bounty! Ваше участие помогает повысить безопасность наших продуктов и услуг. Пожалуйста, ознакомьтесь со следующими правилами, чтобы обеспечить эффективное и этичное сотрудничество.
Регистрация и верификация
- Регистрация: для участия в программе вам сначала необходимо зарегистрироваться на сайте смс-активировать.гуру Укажите свою учетную запись Telegram во время регистрации для удобства общения;
- Проверка: Для получения платежей вам необходимо пройти процедуру верификации. Подробные инструкции будут отправлены вам в Telegram после одобрения вашего отчета.
Предоставление отчетов
- Изучаем Правила: Прежде чем отправлять отчет, пожалуйста, ознакомьтесь с правилами участия и типами уязвимостей, которые можно учитывать;
- Форма отчета: воспользуйтесь формой на странице sms-activate.by/bugbountyForm чтобы отправить свой отчет. Ваш отчет должен содержать четкое описание уязвимости, шаги по ее воспроизведению, доказательства (скриншоты, видео) и рекомендации по ее устранению;
- Дополнительные файлы: при необходимости прикрепите дополнительные файлы для подтверждения уязвимости;
Процесс рассмотрения отчетов
Ваш отчет будет тщательно проанализирован нашими специалистами по безопасности. Этот процесс может занять до трех месяцев. В течение этого времени отчету может быть присвоен один из следующих статусов: «на рассмотрении», «отсортировано», «отклонено модератором», «требуется дополнительная информация» и другие.
Типы уязвимостей
В
вы найдете список типов уязвимостей, за которые не дается вознаграждение. В
указаны критерии оценки уровня важности уязвимости.
Проверка и конфиденциальность
Все персональные данные, предоставленные вами в целях проверки, будут использоваться исключительно в целях идентификации и не будут переданы третьим лицам без вашего согласия. Мы делаем все возможное, чтобы обеспечить конфиденциальность и безопасность ваших данных.
Платежи
После успешной проверки и подтверждения уязвимости вам будет предложено вознаграждение. Размер вознаграждения определяется исходя из уровня важности уязвимости и качества предоставленного отчета.
Этические нормы
Мы ожидаем, что участники будут действовать ответственно и этично. Запрещается использовать найденные уязвимости для нанесения ущерба, получения несанкционированного доступа к данным или системам или распространения информации об уязвимости до ее устранения.
Заключение
Мы ценим ваш вклад в повышение безопасности наших продуктов и услуг. Ваше участие помогает создать более безопасное цифровое пространство для всех нас.
Желаем вам удачи в поиске уязвимостей! Ваш вклад бесценен, поэтому мы благодарны вам за помощь в обеспечении безопасности наших систем.
Приложение А
Виды уязвимостей, не являющихся объектами вознаграждения (низкоуровневые уязвимости, не имеющие критических последствий при эксплуатации, в том числе):
- СУХОЙ (отчеты по данному типу уязвимостей принимаются только в случае высокого уровня критичности; уровень критичности определяется нашим специалистом при подтверждении уязвимости);
- Любые XSS-уязвимости, за исключением Stored XSS (отчеты об уязвимостях Stored XSS принимаются в зависимости от важности веб-ресурса);
- Кликджекинг;
- Небезопасный URI перенаправления;
- Листинг каталогов включен (пароли, резервные копии) и Раскрытие конфиденциальных данных (в зависимости от раскрываемых данных; сообщения об этой уязвимости принимаются при обнаружении критических данных);
- Включен режим отладки, это не раскрывает критические данные;
- CSRF-уязвимости, найден внутри функции, которая не является критической;
- Раскрытие админ-панели (если охотник за ошибками находит панель администратора, но не может осуществить захват учетной записи или получить другую важную информацию);
- Перечисление пользователей без разглашения критически важных данных;
- Неправильная конфигурация безопасности, в случае отсутствия доказательств реализации угрозы;
- Отказаться от оказания услуг;
- Спам;
- социальная инженерия, нацелены на сотрудников, подрядчиков или клиентов;
- Любые физические попытки получить доступ к собственности или центрам обработки данных.
- владелец системы;
- Отчет, созданный с использованием автоматизированных инструментов и сканирований;
- Ошибки в стороннем ПО;
- Отсутствие заголовков безопасности которые не приводят непосредственно к уязвимости;
- Нарушение доверия SSL/TLS;
- Уязвимости, затрагивающие только пользователей устаревших или нелицензионных браузеров и платформ;
- Политики восстановления паролей и учетных записей, например, срок действия ссылки для сброса или надежность пароля;
- Устаревшая запись DNS, указывающий на систему, которая не принадлежит владельцу системы.
Содержание
Приложение Б
Виды уязвимостей по уровню критичности:
Уязвимость
Низкий
Середина
Высокий
Обход пути
10
40
70
Листинг каталогов включен
10
40
Небезопасный URI перенаправления
5
10
Кликджекинг
5
Грубая сила
5
SQL-инъекция (пустая база данных, полезная база данных)
10
40
70
Внедрение внешних сущностей XML
50
70
Включение локального файла
50
Удаленное выполнение кода
10
50
100
Обход аутентификации
50
90
захват аккаунта
50
90
Небезопасные прямые ссылки на объекты
10
Сохраненный XSS
20-30
Отраженный XSS
10-20
Серверный запрос
40-60
Подделка межсайтового запроса
10-20
Состояние гонки
10
90
Внедрение шаблонов на стороне сервера
20
80
Обход пути
Низкий
10
Середина
40
Высокий
70
Листинг каталогов включен
Низкий
10
Середина
40
Высокий
Небезопасный URI перенаправления
Низкий
5
Середина
10
Высокий
Кликджекинг
Низкий
5
Середина
Высокий
Грубая сила
Низкий
5
Середина
Высокий
SQL-инъекция (пустая база данных, полезная база данных)
Низкий
10
Середина
40
Высокий
70
Внедрение внешних сущностей XML
Низкий
Середина
50
Высокий
70
Включение локального файла
Низкий
Середина
50
Высокий
Удаленное выполнение кода
Низкий
10
Середина
50
Высокий
100
Обход аутентификации
Низкий
Середина
50
Высокий
90
захват аккаунта
Низкий
Середина
50
Высокий
90
Небезопасные прямые ссылки на объекты
Низкий
10
Середина
Высокий
Сохраненный XSS
Низкий
20-30
Середина
Высокий
Отраженный XSS
Низкий
10-20
Середина
Высокий
Серверный запрос
Низкий
Середина
40-60
Высокий
Подделка межсайтового запроса
Низкий
10-20
Середина
Высокий
Состояние гонки
Низкий
10
Середина
Высокий
90
Внедрение шаблонов на стороне сервера
Низкий
20
Середина
Высокий
80
Баллы в зависимости от критического уровня уязвимости начисляются следующим образом:
- Низкий уровень важности – от 0 до 30 баллов;
- Средний уровень важности – от 31 до 60 баллов;
- Высокий уровень важности – от 61 до 100 баллов.
- смс-активировать.гуру
- hstock.org
- ipkings.io
Награды
Размер вознаграждения зависит от критичности уязвимости, простоты ее эксплуатации и влияния на пользовательские данные. Уровень критичности часто определяется совместно с разработчиками и может занять больше времени.
Уязвимость
Награда
Удаленное выполнение кода (RCE)
$1500 - $5000
Доступ к локальным файлам и прочее (LFR, RFI, XXE)
$500 - $3000
Инъекции
$500 - $3000
Межсайтовый скриптинг (XSS), за исключением Self-XSS
$100 - $500
SSRF, кроме слепых
$300 - $1000
Слепой SSRF
$100 - $500
Утечки памяти/IDOR/Раскрытие информации с защищенными персональными данными или конфиденциальной информации пользователя
$70 - $1150
Другие подтвержденные уязвимости
Зависит от критичности
Задействованы все приложения SMS-Activate, работающие с пользовательскими данными. Наши приложения можно найти в Гугл Плей
и Магазин приложений
по имени СМС-Активировать
Приложения
Уязвимость
Награда
Удаленное выполнение кода (RCE)
$1500 - $5000
Доступ к локальным файлам и прочее (LFR, RFI, XXE)
$500 - $3000
Инъекции
$500 - $3000
SSRF, кроме слепых
$300 - $1000
Слепой SSRF
$100 - $500
Утечки памяти/IDOR/Раскрытие информации с защищенными персональными данными или конфиденциальной информации пользователя
$70 - $1150
Подделка межсайтовых запросов (СSRF, междоменные запросы Flash, CORS)
$35 — $300
Другие подтвержденные уязвимости
Зависит от критичности
