Безопасность

Программа Bug Bounty

BelHost приветствует ответственное раскрытие уязвимостей от исследователей безопасности. Мы рассматриваем все соответствующие требованиям отчёты и можем предлагать вознаграждения за достоверные уязвимости.

Сообщить об уязвимости Читать правила
На этой странице
Канал сообщения
[email protected]

Обзор

Мы считаем безопасность наших систем наивысшим приоритетом. Ни одна система не является совершенной, и в любой технологии всегда могут быть недостатки. Мы рады сотрудничеству с опытными исследователями в области безопасности для защиты наших клиентов.

Если вы считаете, что обнаружили проблему безопасности в нашем продукте или услуге, мы рекомендуем сообщить нам об этом.

Руководство по ответственному раскрытию

  • Сообщите нам как можно скорее после обнаружения потенциальной проблемы безопасности, и мы приложим все усилия для её быстрого устранения.
  • Дайте нам разумное время для устранения проблемы до любого публичного раскрытия или раскрытия третьей стороне.
  • Никакого несанкционированного самозванства: любые попытки социальной инженерии в отношении другой стороны путём выдачи себя за сотрудника BelHost, другого исследователя или команду безопасности будут недопустимы.
  • Если вы соблюдаете все условия, изложенные в данном руководстве, мы не будем предпринимать против вас никаких правовых действий в связи с вашим сообщением.
  • Ваше сообщение будет сохранено в конфиденциальности. Мы не будем передавать вашу личную информацию третьим лицам без предварительного согласия, если это не требуется для соблюдения юридического обязательства.

Вознаграждения

В знак признательности BelHost предлагает вознаграждения за сообщения о квалифицированных уязвимостях безопасности. Вознаграждения могут быть выплачены в виде денежной компенсации или товаров BelHost. Размер вознаграждения определяется по усмотрению BelHost и основан на внутренней оценке серьёзности раскрытой уязвимости. Вознаграждение будет сообщено после проверки нашими внутренними командами.

Критерии участия

Чтобы претендовать на вознаграждение, необходимо:

  1. Быть первым, кто сообщил об уязвимости.
  2. Следовать руководству, описанному на этой странице.
  3. Не раскрывать уязвимость публично до нашего устранения.
  4. Предоставить работающее доказательство концепции, эксплуатирующее проблему безопасности.
  5. Использовать только собственные созданные аккаунты и не обращаться к данным других пользователей.
  6. Не являться жителем страны, включённой в список лиц, находящихся под особым наблюдением и заблокированных (SDN).
  7. Не являться жителем страны, включённой в Сводный список лиц, групп и организаций, подпадающих под финансовые санкции ЕС.

Абсолютные исключения

Следующие категории выходят за пределы области применения и, как правило, ответа не получат.

Социальные и физические атаки
  • Социальная инженерия (включая фишинг)
  • Любые физические попытки против имущества или центров обработки данных BelHost
  • Физическая атака на инфраструктуру
Тестирование доступности и злоупотреблений
  • Отказ в обслуживании
  • Брутфорс
  • Отчёты от автоматизированных инструментов и сканирований
  • Отсутствие ограничений частоты запросов
Малозначимые веб-проблемы
  • CSRF
  • Self-XSS
  • Clickjacking и проблемы, эксплуатируемые только через clickjacking
  • Подмена содержимого на страницах ошибок или внедрение текста
  • Атаки с использованием омографов
  • Открытые перенаправления
  • Слабый CAPTCHA / обход CAPTCHA
  • Проблемы, связанные с кешем
Только находки конфигурации и заголовков
  • Связанные с X-Frame-Options
  • Отсутствующие флаги cookie
  • Отсутствующие заголовки безопасности, не ведущие напрямую к уязвимости
  • Отсутствие noreferrer, noopener
  • Проблемы DKIM/SPF/DMARC
  • Раскрытие версии
  • Листинг директорий
  • Проблемы SSL
  • Включённый метод HTTP OPTIONS
  • Раскрытие IP-адреса сервера
Пограничные случаи аккаунта и аутентификации
  • Тайм-ауты сессий аутентификации (сессии привязаны к IP с тайм-аутом 1 час)
  • Повторное использование кода TOTP 2FA
  • Перебор пользователей методом брутфорс
  • Активация 2FA без подтверждения по email
  • Проверка пароля при смене email или 2FA
  • Политика паролей
  • Любая атака, требующая доступа к компьютеру пользователя (физически или удалённо)
Стороннее и несвязанное программное обеспечение
  • Ошибки в стороннем программном обеспечении
  • Уязвимости WordPress
  • Любые уязвимости браузеров
  • Манипуляции с параметрами платёжных процессоров
Из-за большого количества недействительных сообщений на сообщения, содержащие уязвимость из нашего списка исключений, ответов не последует.

Как сообщить

Пожалуйста, отправьте первоначальные выводы на:

[email protected]