Рекомендации по серьезности
Все заявки на вознаграждение оцениваются с использованием специально разработанной простой шкалы. Каждая уязвимость уникальна, но ниже приведены приблизительные рекомендации, которые мы используем внутри компании для оценки и поощрения заявок.
Критическая серьезность - 1000+ USD
Проблемы критической серьезности представляют прямой и непосредственный риск для широкого круга наших пользователей или для самой компании.
Выполнение произвольного кода / команды в нашей сети.
Произвольные SQL-запросы / инъекции.
Обход процесса входа в систему.
Доступ к конфиденциальным данным пользователей или доступ к внутренней биллинг-системе.
Высокая серьезность - 500 USD
Проблемы высокой степени серьезности позволяют злоумышленнику считывать или изменять высокочувствительные данные, доступ к которым у него запрещен.
Получение доступа к некритичному ресурсу, доступ к которому должны иметь только сотрудники.
Атаки типа CSRF / Stored XSS, требующие взаимодействия с пользователем.
Получение доступа / изменение данных конкретного пользователя.
Средняя серьезность - 100 USD
Проблемы средней степени тяжести позволяют злоумышленнику считывать или изменять ограниченные объемы данных, доступ к которым у него запрещен.
Получение списка каталогов серверных файлов
Получение от серверов секретных данных
Функциональные проблемы безопасности, такие как ссылка для сброса пароля, срок действия которой не истекает
Низкая серьезность - 50 USD
Проблемы низкой серьезности позволяют злоумышленнику получить доступ к крайне ограниченным объемам данных. Они могут нарушать ожидания относительно того, как что-либо должно работать, но это практически не допускает повышения привилегий или возможности вызвать непреднамеренное поведение злоумышленника
Проблемы с DDOS, которые не связаны с применением грубой силы и могут нанести значительный ущерб.
Запуск подробных страниц ошибок или отладочных страниц без доказательств возможности использования или получения конфиденциальной информации.
Незначительные утечки информации (нет данных клиентов).
Неподходящие отчеты
Ошибки, о которых сообщают крупномасштабные сканеры уязвимостей, скребки или автоматизированные инструменты, которые производят чрезмерный объем трафика, включают отсутствующие заголовки.
Распространенные проблемы с DDOS, ограничение частоты пропущенных / неадекватных запросов.
Уязвимости в неподдерживаемых браузерах, операционных системах и устаревших версиях наших приложений.
Социальная инженерия, атаки методом перебора, скомпрометированный пароль пользователя.
Перечисленные ниже известные проблемы не имеют права на вознаграждение.
Известные проблемы
Следующие проблемы известны и являются ожидаемым поведением IHC. Мы ожидаем, что наши пользователи будут осведомлены о безопасности и не будут применять эти политики.
Слабая политика паролей, отсутствует максимальная длина пароля.
Забыли / Сбросили пароль, позволяющий создать новую учетную запись.
Срок действия ссылки для сброса пароля не истекает после смены пароля / электронной почты.
Неспособность аннулировать сеанс при смене пароля / электронной почты.
Выход из системы не приведет к уничтожению существующих сеансов.
Копирование сессионного файла cookie позволяет войти в систему.
Запись SPF/DMARC отсутствует.
Слабые SSL/TLS шифры и протоколы.
Раскрытие версии сервера и phpinfo().
Библиотеки фронтенда не последних версий.
Правила программы вознаграждения за ошибки
Немедленно сообщайте нам о воспроизводимых ошибках безопасности.
Домены, участвующие в программе: www.ihc.ru, my.ihc.ru, support.ihc.ru, *.ihc-ru.net.
Никаких нетехнических атак, таких как социальная инженерия, фишинг или физические атаки на наших сотрудников, пользователей или инфраструктуру.
Чем тщательнее проверка концепции, тем выше вероятность получения выплаты.
Не публикуйте ошибку до того, как она будет исправлена.
Вознаграждение будет присуждаться только в USDT.
При возникновении дубликатов мы присуждаем только первый полученный отчет (при условии, что он может быть полностью воспроизведен).
Суммы, указанные в рекомендациях по серьезности, являются ориентировочными. Точную сумму вознаграждения определяет наша служба безопасности.
Как отправить отчет
Отправьте письмо на director@ihc.ru или заявку через личный кабинет с подробным описанием проблемы. Наша команда свяжется с вами в течение нескольких дней.