Преимущества QBigAds - встроенная защита от рекламы на бренд Узнать больше

Узнать больше
ВОЙТИ

Награда за обнаружение ошибок

Основное правило:

Если вы готовы предоставить доказательство концепции (Proof of Concept), мы можем обсудить возможность выплаты вознаграждения.

Вознаграждение будет выплачено только после того, как уязвимость будет проверена и подтверждена нами.

Политика раскрытия информации:

Вам строго запрещается разглашать любую информацию об уязвимости кому-либо, кроме владельца — компаний ООО «СПАРТА» и т.д.

Любое использование уязвимости во вред компании или публичное раскрытие такой уязвимости будет преследоваться по закону в полной мере и приведёт к потере права на получение вознаграждения.

Обратите внимание: следующие случаи не подлежат вознаграждению:  

  • Атаки методом перебора (brute force), перечисление (enumeration) и веб-скрапинг не считаются действительными уязвимостями и не вознаграждаются.  
  • Использование утечек данных из внешних систем на нашей платформе.  
  • Фишинг-атаки.  
  • Атаки, требующие полного административного доступа к аккаунту пользователя.  
  • Уязвимости в сервисах или продуктах сторонних партнёров, которые напрямую не влияют на безопасность наших собственных сервисов.  
  • Проблемы, связанные с сессиями (например, фиксация сессии, предсказуемость идентификатора сессии).  
  • Оповещения, сгенерированные автоматизированными сканерами безопасности или инструментами, если они не сопровождаются подтверждённой эксплуатацией уязвимости в реальных условиях.  
  • Сообщения, основанные исключительно на версиях программного обеспечения или протоколов без демонстрации реального воздействия или возможности эксплуатации.  
  • Сообщения об отсутствии механизмов безопасности (например, отсутствие CSRF-токенов) или несоответствии рекомендованным практикам, если они не включают доказуемо негативные последствия.  
  • CSRF при выходе из системы, self-XSS, UI redressing (фрейминг), clickjacking.  Уязвимости открытого редиректа (например, через /away.php).

Строго запрещённые действия:  

  • DDoS-атаки  
  • Социальная инженерия  
  • Получение физического доступа к серверам или инфраструктуре  
  • Угрозы или причинение вреда сотрудникам компании

Как отправить отчёт:

Следование данным рекомендациям значительно повысит ваши шансы на получение вознаграждения:  

  • Чётко укажите затронутый сервис или раздел.  
  • Определите тип уязвимости.  
  • Предоставьте рабочее доказательство концепции, желательно со скриншотами или видеозаписью экрана.  
  • Подробно опишите шаги для воспроизведения.  
  • Объясните потенциальное воздействие уязвимости.  
  • Предложите возможные меры по устранению (необязательно, но приветствуется).

Размер вознаграждения:

Размер вознаграждения зависит от степени серьёзности сообщённой уязвимости и потенциального ущерба, который она может нанести компании.

Мы используем файлы cookie для улучшения работы сайта. Продолжая пользоваться сайтом, вы соглашаетесь с нашей Политикой конфиденциальности

Согласен