Програма за Bug Bounty

Преглед

Считаме сигурността на нашите системи за основен приоритет. Нито една система не е перфектна и в която и да е технология може да има слабости. Очакваме с интерес да работим с опитни изследователи по сигурността, за да защитим нашите клиенти.

Ако смятате, че сте открили проблем със сигурността в нашия продукт или услуга, насърчаваме ви да ни уведомите.

Насоки за отговорно разкриване

• Уведомете ни възможно най-скоро след откриване на потенциален проблем със сигурността и ние ще положим всички усилия да го разрешим бързо.
• Дайте ни разумно количество време за разрешаване на проблема, преди да го разкриете публично или на трета страна.
• Без неоторизирано представяне: всякакви опити за социален инженеринг на друга страна чрез представяне за служител на BelHost, друг изследовател или екип по сигурността няма да бъдат толерирани.
• Ако спазвате всички условия, посочени в тези насоки, ние няма да предприемем никакви правни действия срещу вас по отношение на вашия доклад.
• Вашият доклад ще се пази в тайна. Ние няма да споделяме личната ви информация с трети страни без предварително съгласие, освен ако не е необходимо за спазване на законово задължение.

Награди

За да изразим признателността си, BelHost предлага награди за доклади за квалифицирани уязвимости в сигурността. Наградите могат да бъдат под формата на парично обезщетение или стоки на BelHost. Размерът на наградата е по усмотрение на BelHost и се основава на вътрешната оценка на тежестта на разкритата уязвимост. Наградата ще бъде съобщена след валидиране от нашите вътрешни екипи.

Допустимост

За да се класирате за награда, трябва да:

1. Бъдете първият, докладвал уязвимостта.
2. Следвайте насоките, описани на тази страница.
3. Не разкривайте публично уязвимостта преди нашето решение.
4. Предоставете работещо доказателство за концепция, което използва проблема със сигурността.
5. Използвайте само собствено създадени акаунти и не достъпвайте данни на други потребители.
6. Да не сте жител на страна, включена в списъка на специално определени граждани и блокирани лица (SDN).
7. Да не сте жител на страна, включена в Консолидирания списък на лица, групи и субекти, подлежащи на финансови санкции на ЕС.

Абсолютни изключения

Следните категории са извън обхвата и обикновено няма да получат отговор.

Социални и физически атаки

• Социален инженеринг (включително фишинг)
• Всякакви физически опити срещу имуществото или центровете за данни на BelHost
• Физическа атака срещу инфраструктурата

Тестване на наличност и злоупотреба

• Атака за отказ на услуга
• Брутфорс
• Доклади от автоматизирани инструменти и сканирания
• Липсващи ограничения на честотата

Уеб проблеми с ниска значимост

• CSRF
• Self-XSS
• Clickjacking и проблеми, използваеми само чрез clickjacking
• Подправяне на съдържание на страниците с грешки или инжектиране на текст
• Атаки с хомографи
• Отворени пренасочвания
• Слаб CAPTCHA / заобикаляне на CAPTCHA
• Проблеми, свързани с кеша

Находки само за конфигурация и заглавия

• Свързани с X-Frame-Options
• Липсващи флагове за бисквитки
• Липсващи заглавия за сигурност, които не водят директно до уязвимост
• Липсващи noreferrer, noopener
• Проблеми с DKIM/SPF/DMARC
• Разкриване на версия
• Листване на директории
• Проблеми с SSL
• Активиран HTTP метод OPTIONS
• Разкриване на IP на сървъра

Гранични случаи на акаунт и автентикация

• Прекъсвания на сесията за автентикация (сесиите са обвързани с IP с 1-часов таймаут)
• Повторна употреба на 2FA TOTP код
• Изброяване на потребители чрез брутфорс
• Активиране на 2FA без потвърждение по имейл
• Проверка на парола при промяна на имейл или 2FA
• Политика за пароли
• Всякаква атака, изискваща достъп до компютъра на потребителя (физически или отдалечен)

Трети страни и несвързан софтуер

• Грешки в софтуер на трети страни
• Уязвимости в WordPress
• Всякакъв вид браузърни уязвимости
• Манипулиране на параметри за платежни процесори

Как да докладвате

Моля, изпратете първоначалните си открития на:

[email protected]