Рекомендации по серьезности
Все заявки на вознаграждение оцениваются с использованием специально разработанной простой шкалы. Каждая уязвимость уникальна, но ниже приведены приблизительные рекомендации, которые мы используем внутри компании для оценки и поощрения заявок.
Критическая серьезность - 1000+ USD
Проблемы критической серьезности представляют прямой и непосредственный риск для широкого круга наших пользователей или для самой компании.
- Выполнение произвольного кода / команды в нашей сети.
- Произвольные SQL-запросы / инъекции.
- Обход процесса входа в систему.
- Доступ к конфиденциальным данным пользователей или доступ к внутренней биллинг-системе.
Высокая серьезность - 500 USD
Проблемы высокой степени серьезности позволяют злоумышленнику считывать или изменять высокочувствительные данные, доступ к которым у него запрещен.
- Получение доступа к некритичному ресурсу, доступ к которому должны иметь только сотрудники.
- Атаки типа CSRF / Stored XSS, требующие взаимодействия с пользователем.
- Получение доступа / изменение данных конкретного пользователя.
Средняя серьезность - 100 USD
Проблемы средней степени тяжести позволяют злоумышленнику считывать или изменять ограниченные объемы данных, доступ к которым у него запрещен.
- Получение списка каталогов серверных файлов
- Получение от серверов секретных данных
- Функциональные проблемы безопасности, такие как ссылка для сброса пароля, срок действия которой не истекает
Низкая серьезность - 50 USD
Проблемы низкой серьезности позволяют злоумышленнику получить доступ к крайне ограниченным объемам данных. Они могут нарушать ожидания относительно того, как что-либо должно работать, но это практически не допускает повышения привилегий или возможности вызвать непреднамеренное поведение злоумышленника
- Проблемы с DDOS, которые не связаны с применением грубой силы и могут нанести значительный ущерб.
- Запуск подробных страниц ошибок или отладочных страниц без доказательств возможности использования или получения конфиденциальной информации.
- Незначительные утечки информации (нет данных клиентов).
Неподходящие отчеты
- Ошибки, о которых сообщают крупномасштабные сканеры уязвимостей, скребки или автоматизированные инструменты, которые производят чрезмерный объем трафика, включают отсутствующие заголовки.
- Распространенные проблемы с DDOS, ограничение частоты пропущенных / неадекватных запросов.
- Уязвимости в неподдерживаемых браузерах, операционных системах и устаревших версиях наших приложений.
- Социальная инженерия, атаки методом перебора, скомпрометированный пароль пользователя.
- Перечисленные ниже известные проблемы не имеют права на вознаграждение.
Известные проблемы
Следующие проблемы известны и являются ожидаемым поведением IHC. Мы ожидаем, что наши пользователи будут осведомлены о безопасности и не будут применять эти политики.
- Слабая политика паролей, отсутствует максимальная длина пароля.
- Забыли / Сбросили пароль, позволяющий создать новую учетную запись.
- Срок действия ссылки для сброса пароля не истекает после смены пароля / электронной почты.
- Неспособность аннулировать сеанс при смене пароля / электронной почты.
- Выход из системы не приведет к уничтожению существующих сеансов.
- Копирование сессионного файла cookie позволяет войти в систему.
- Запись DMARC отсутствует.
- Раскрытие версии сервера.
- Библиотеки фронтенда не последних версий.
Правила программы вознаграждения за ошибки
- Немедленно сообщайте нам о воспроизводимых ошибках безопасности.
- Никаких нетехнических атак, таких как социальная инженерия, фишинг или физические атаки на наших сотрудников, пользователей или инфраструктуру.
- Чем тщательнее проверка концепции, тем выше вероятность получения выплаты.
- Не публикуйте ошибку до того, как она будет исправлена.
- Вознаграждение будет присуждаться только в USDT.
- При возникновении дубликатов мы присуждаем только первый полученный отчет (при условии, что он может быть полностью воспроизведен).
- Суммы, указанные в рекомендациях по серьезности, являются ориентировочными. Точную сумму вознаграждения определяет наша служба безопасности.
Как отправить отчет
Отправьте письмо на director@ihc.ru или заявку через личный кабинет с подробным описанием проблемы. Наша команда свяжется с вами в течение нескольких дней.