SMS-ACTIVATE
Browser
Правила участия в программе Bug Bounty
Добро пожаловать в программу Bug Bounty! Ваше участие помогает улучшать безопасность наших продуктов и сервисов. Пожалуйста, ознакомьтесь с ниже приведенными правилами, чтобы гарантировать эффективное и этичное сотрудничество
Регистрация и Верификация
- Регистрация: для участия в программе необходимо зарегистрироваться на сайте sms-activate.page В процессе регистрации укажите ваш Telegram аккаунт для упрощения коммуникации;
- Верификация: для получения выплат вы должны пройти процесс верификации. Подробные инструкции будут отправлены вам через Telegram после того, как ваш отчет будет одобрен
Подача отчетов
- Ознакомление с Правилами: перед подачей отчета ознакомьтесь с правилами участия и типами уязвимостей, принимаемых к рассмотрению;
- Форма отчета: используйте форму на странице sms-activate.page/bugBountyForm для отправки отчета. Ваш отчет должен содержать четкое описание уязвимости, шаги для ее воспроизведения, доказательства (скриншоты, видеозаписи) и рекомендации по устранению;
- Дополнительные файлы: если необходимо, прикрепите дополнительные файлы для подтверждения уязвимости;
Процесс рассмотрения отчетов
Ваш отчет будет тщательно изучен нашими аналитиками безопасности. Этот процесс может занять до трех месяцев. В течение этого времени отчет может получить один из следующих статусов: «на рассмотрении», «отсортирован», «отклонен модератором», «требуется больше информации» и другие.
Категории уязвимостей
В
вы найдете список типов уязвимостей, которые не подлежат вознаграждению. В
указаны критерии оценки критичности уязвимости.
Верификация и конфиденциальность
Все личные данные, предоставленные вами для верификации, будут использоваться исключительно в целях идентификации и не будут переданы третьим лицам без вашего согласия. Мы прилагаем все усилия для обеспечения конфиденциальности и безопасности ваших данных.
Выплаты
После успешной верификации и подтверждения уязвимости вам будет предложено вознаграждение. Размер вознаграждения определяется на основе критичности уязвимости и качества предоставленного отчета.
Этичные нормы
Мы ожидаем, что участники будут действовать ответственно и этично. Не допускается использование найденных уязвимостей для нанесения ущерба, получения несанкционированного доступа к данным или системам, а также распространения информации о уязвимости до ее устранения.
Заключение
Мы ценим ваш вклад в повышение безопасности наших продуктов и услуг. Ваше участие помогает создать более безопасное цифровое пространство для всех нас.
Успехов в поиске уязвимостей! Ваш вклад неоценим, и мы благодарны за вашу помощь в обеспечении безопасности наших систем.
Приложение А
Виды уязвимостей, которые не оплачиваются (уязвимости низкого уровня, которые не имеют критических последствий в случае их эксплуатации, в том числе):
- IDOR (отчеты по данному типу уязвимости принимаются только в случае высокого уровня критичности; уровень критичности определяется нашим специалистом при подтверждении наличия уязвимости);
- Любые виды уязвимости XSS, помимо Stored XSS (отчеты по уязвимости Stored XSS принимаются в зависимости от значимости веб-ресурса);
- Clickjacking;
- Insecure Redirect URI;
- Directory Listing Enabled (пароли, бекапы) и Sensitive data exposure (в зависимости от раскрывающихся данных; отчеты по этой уязвимости принимаются, в случае обнаружения критичных данных);
- Включенный debug mode, в котором не раскрываются критические данные;
- CSRF уязвимости, найденные в функционале, который̆ не является критичным;
- Раскрытие панели админа (если багхантер находит панель админа, однако не способен произвести захват аккаунта или получать иную критическую информацию);
- User Enumeration без раскрытия критичных данных;
- Security Misconfiguration, в случае отсутствия доказательств реализации угрозы;
- Отказ в обслуживании;
- Спам;
- Социальная инженерия, направленная против сотрудников, подрядчиков или клиентов;
- Любые физические попытки по получению доступа к собственности или центрам обработки данных
- Владельца системы;
- Отчет с помощью автоматизированных инструментов и сканирований;
- Ошибки в стороннем программном обеспечении;
- Отсутствие заголовков безопасности которые не ведут напрямую к уязвимости;
- Нарушение доверия SSL / TLS;
- Уязвимости, влияющие только на пользователей устаревших или непатентованных браузеров и платформ;
- Политики восстановления пароля и учетной записи, такие как срок действия ссылки для сброса или сложность пароля;
- Устаревшая запись DNS, указывающая на систему, которая не принадлежит владельцу системы.
Содержание
Приложение Б
Виды уязвимостей по уровням критичности:
Уязвимость
Низкая
Средняя
Высокая
Path Traversal
10
40
70
Directory Listing Enabled
10
40
Insecure Redirect URI
5
10
Clickjacking
5
Brute Force
5
SQL Injection (пустая база, полезная база)
10
40
70
XML External Entity Injection
50
70
Local File Inclusion
50
Remote Code Execution
10
50
100
Authentication Bypass
50
90
Account Takeover
50
90
Insecure Direct Object References
10
Stored XSS
20-30
Reflected XSS
10-20
Server-Side Request
40-60
Cross-Site Request Forgery
10-20
Race Condition
10
90
Server-Side Template Injection
20
80
Path Traversal
Низкая
10
Средняя
40
Высокая
70
Directory Listing Enabled
Низкая
10
Средняя
40
Высокая
Insecure Redirect URI
Низкая
5
Средняя
10
Высокая
Clickjacking
Низкая
5
Средняя
Высокая
Brute Force
Низкая
5
Средняя
Высокая
SQL Injection (пустая база, полезная база)
Низкая
10
Средняя
40
Высокая
70
XML External Entity Injection
Низкая
Средняя
50
Высокая
70
Local File Inclusion
Низкая
Средняя
50
Высокая
Remote Code Execution
Низкая
10
Средняя
50
Высокая
100
Authentication Bypass
Низкая
Средняя
50
Высокая
90
Account Takeover
Низкая
Средняя
50
Высокая
90
Insecure Direct Object References
Низкая
10
Средняя
Высокая
Stored XSS
Низкая
20-30
Средняя
Высокая
Reflected XSS
Низкая
10-20
Средняя
Высокая
Server-Side Request
Низкая
Средняя
40-60
Высокая
Cross-Site Request Forgery
Низкая
10-20
Средняя
Высокая
Race Condition
Низкая
10
Средняя
Высокая
90
Server-Side Template Injection
Низкая
20
Средняя
Высокая
80
Баллы по уровням критичности уязвимостей присуждаются следующим образом:
- За низкий уровень критичности – от 0 до 30 баллов;
- За средний уровень критичности - от 31 до 60 баллов;
- За высокий уровень критичности - от 61 до 100 баллов.
- sms-activate.page
- hstock.org
- ipkings.io
Вознаграждения
Размер вознаграждения зависит от критичности уязвимости, простоты ее эксплуатации и воздействию на данные пользователей. Решение об уровне критичности часто принимается совместно с разработчиками, и это может занимать какое-то время.
Уязвимость
Вознаграждение
Remote Code Execution (RCE)
$1500 - $5000
Local files access и другое (LFR, RFI, XXE)
$500 - $3000
Инъекции
$500 - $3000
Cross-Site Scripting (XSS), исключая Self-XSS
$100 - $500
SSRF, кроме слепых
$300 - $1000
Слепая SSRF
$100 - $500
Утечки памяти / IDORs / Раскрытие информациис защищенными личными данными или конфиденциальной информацией пользователя
$70 - $1150
Другие подтвержденные уязвимости
Зависит от критичности
Участвуют все приложения SMS-Activate, которые имеют дело с пользовательскими данными. Наши приложения можно найти в Google Play
и App Store
по названию SMS-Activate
Приложения
Уязвимость
Вознаграждение
Remote Code Execution (RCE)
$1500 - $5000
Local files access и другое (LFR, RFI, XXE)
$500 - $3000
Инъекции
$500 - $3000
SSRF, кроме слепых
$300 - $1000
Слепая SSRF
$100 - $500
Утечки памяти / IDORs / Раскрытие информациис защищенными личными данными или конфиденциальной информацией пользователя
$70 - $1150
Cross-Site Request Forgery (СSRF, Flash crossdomain requests, CORS)
$35 — $300
Другие подтвержденные уязвимости
Зависит от критичности
