avatar
Консоль
Компания — Консоль

Автоматизируем управление самозанятыми, ИП, физлицами. Помогаем средним и крупным компаниям сократить издержки и снизить риски сотрудничества с большим числом исполнителей.

Описание программы

Область действия программы

Домены

app.konsol.pro, api.konsol.pro

Правила вознаграждения

Мы оцениваем уязвимости в индивидуальном порядке с учетом VRT и нашей экспертизы. Уровень опасности уязвимости может быть понижен или повышен в зависимости от потенциального ущерба при проведении атаки.


Принципал оставляет за собой право принимать окончательное решение в отношении опасности найденной уязвимости.


Максимальные выплаты подразумеваются только за обнаружение проблем в сервисах, перечисленных в пункте «Область действия программы», то есть входящих в основную область действия программы.
Все остальные ресурсы имеют пониженный (в некоторых случаях нулевой) коэффициент для назначения вознаграждения.

Уязвимости, за нахождение которых вознаграждение не выплачивается:

  • Self-XSS, XSS в непопулярных или устаревших браузерах, Flash-based XSS.
  • CSRF и XSS без воздействия на чувствительные данные.
  • Отсутствие рекомендованных механизмов защиты* (например, HTTP-заголовков, флагов безопасности куки или защиты от CSRF).
  • Ошибки в настройке CORS*.
  • Использование устаревшего или потенциально уязвимого стороннего ПО*.
  • Атаки, связанные с мошенничеством или кражей.
  • Возможность неограниченной отправки SMS-сообщений и сообщений эл. почты.
  • Атаки типа DoS*.
  • Небезопасно сконфигурированные TLS или SSL*.
  • Разглашение информации о существовании в системе имени пользователя, адреса эл. почты или номера телефона.
  • Full Path Disclosure.
  • Разглашение технической или нечувствительной информации* (например, версии продукта или используемого ПО, stack trace).
  • Open redirect без дополнительного вектора атаки (например, кражи токена авторизации).
  • Подмена контента на странице.
  • Tabnabbing.
  • Уязвимости, требующие выполнения сложного или маловероятного сценария взаимодействия с пользователем.
  • Уязвимости, необходимым условием эксплуатации которых является наличие вредоносного ПО, root-прав или jailbreak на устройстве.
  • Атаки, требующие MITM чужого соединения или физической близости с чужим устройством (например, атаки через NFC, Bluetooth, Wi-Fi и shoulder surfing).
  • Маловероятные или теоретические атаки без доказательств возможности их проведения.
  • Без детального описания вектора атаки и доказательств потенциального нанесения ущерба или вреда.

Не рассматриваются отчеты, содержащие следующую информацию

  • Сообщения об уязвимостях в сервисах, не относящихся к экосистеме Konsol.PRO.
  • Проблемы, не связанные с безопасностью.
  • Сообщения о возможных DDoS-атаках.
  • Информация об IP-адресах, DNS-записях и открытых портах.
  • Сообщения о применении фишинга и других техник социальной инженерии.
  • Сообщения о публично доступных панелях входа.
  • Разглашение публичной информации о пользователях.
  • Сообщения о недостатках использования четырехсимвольных SMS-кодов.
  • Сведения об обходе проверки на root и jailbreak.
  • Сообщения о возможности обратной разработки мобильных приложений.
  • Сообщения от сканеров безопасности и других средств автоматического сканирования.
  • Сообщения об уязвимости без демонстрации ее реального существования.
  • Сообщения об уязвимости без указания на достоверно возможные негативные последствия ее эксплуатации.
  • Сообщения об отсутствии заголовков безопасности.
  • Clickjacking отчеты, основанные на отсутствии HTTP-заголовков. Для рассмотрения Clickjacking отчета необходимо предоставить корректный PoC и сценарий атаки с описанием негативных последствий ее реализации.
  • Сообщения об отсутствии лучших практик безопасности.
  • Атаки, требующие MITM или физический доступ к устройству пользователя.
  • Уязвимости, которые затрагивают только пользователей устаревших или уязвимых браузеров и платформ.
  • Уязвимости, которыми можно навредить только самому себе.

Правила тестирования

  • Для проведения тестирования пользователям необходимо использовать собственные учетные записи либо учетные записи пользователей, которые явно выразили свое согласие на такие действия.
  • Составляйте подробные отчеты с рабочими шагами для воспроизведения сценария атаки. Если отчет оформлен недостаточно подробно, чтобы воспроизвести проблему, пользователь может быть лишен права на получение вознаграждения.
  • Чтобы подтвердить наличие уязвимости, необходимо представить минимально возможный POC (proof of concept). Если это может повлиять на других пользователей или же на работоспособность системы, свяжитесь с принципалом для получения разрешения.
    Дальнейшая эксплуатация уязвимостей строго запрещена.
  • Не проводите автоматизированный перебор, атаки типа «отказ в обслуживании» (DoS- и DDoS-атаки), не отправляйте спам нашим пользователям, не используйте методы социальной инженерии и фишинг, направленные на наших сотрудников и подрядчиков.
  • Обращения в техподдержку и отправка любых форм, которые будут обработаны людьми, строго запрещены.
  • В случае дубликата мы наградим только пользователя, приславшего первый отчет об уязвимости (если описанный им сценарий полностью воспроизводится).
  • Решение известных нам проблем, находящихся в процессе исправления, не претендует на вознаграждение.
  • Никому не сообщайте информацию о найденной уязвимости без нашего разрешения.
  • Публичные 0-day-уязвимости с официальным патчем, выпущенным менее двух месяцев назад, могут рассматриваться как дубликаты, если они известны нашей команде из общедоступных источников.
  • Во время поиска уязвимостей следует избегать нарушения конфиденциальности, целостности и доступности информации в сервисах принципала.
  • Запрещена любая деятельность, которая может нанести ущерб приложениям компании, ее инфраструктуре, клиентам и партнерам.

Примеры запрещенных действий: социальная инженерия, фишинг, атаки типа «отказ в обслуживании», физическое воздействие на инфраструктуру.

  • Автоматическое сканирование должно быть ограничено пятью запросами в секунду.
  • Во избежание классификации сгенерированного пользователем трафика как вредоносного и предотвращения связанных с этим проблем необходимо добавлять HTTP-заголовок ко всем исходящим запросам: X-Bug-Bounty: username.

Политика тестирования RCE

Тестирование уязвимостей, которые могут приводить к удаленному исполнению кода, должно выполняться в соответствии с этой политикой.


Во время тестирования запрещены любые действия на сервере, кроме:

  • выполнения команд ifconfig (ipconfig), hostname, whoami;
  • чтения содержимого файлов /etc/passwd и /proc/sys/kernel/hostname (drive:/boot.ini, drive:/install.ini);
  • создания пустого файла в каталоге текущего пользователя.

При необходимости проведения иных действий необходимо предварительно согласовать их с Принципалом.

Политика тестирования SQL-инъекций

Тестирование уязвимостей, которые могут приводить к внедрению команд SQL, должно выполняться в соответствии с этой политикой.


Во время тестирования запрещены любые действия на сервере, кроме:

  • получения данных о текущей БД (SELECT database()), ее версии (SELECT @@version), текущем пользователе (SELECT user(), SELECT system_user()) или имени узла (SELECT @@hostname);
  • получения схемы БД (SELECT table_schema), списка таблиц в ней (SELECT table_name) и имен столбцов в таблицах (SELECT column_name);
  • выполнения математических, конверсионных или логических запросов (включая использование SLEEP) без извлечения данных (кроме тех, что перечислены выше).

При необходимости проведения иных действий необходимо предварительно согласовать их с принципалом.

Политика загрузки и чтения файлов

Тестирование уязвимостей, которые могут приводить к чтению произвольных файлов на сервере или произвольной загрузке файлов, должно выполняться в соответствии с этой политикой

Запрещенные действия при загрузке файлов:

  • Изменение, модификация, удаление и замена любых файлов на сервере (включая системные), кроме тех, что ассоциированы с вашей учетной записью либо с учетной записью пользователя, который явно выразил свое согласие.
  • Загрузка файлов, которые могут вызвать отказ в обслуживании (например, файлов большого размера).
  • Загрузка вредоносных файлов (например, малвари или шпионского ПО).

При получении возможности чтения произвольных файлов на сервере запрещены любые действия, кроме чтения таких файлов, как /etc/passwd и /proc/sys/kernel/hostname (drive:/boot.ini, drive:/install.ini).

При необходимости проведения иных действий необходимо предварительно согласовать их c триажером.

Требования к отчету

Один отчет должен описывать одну уязвимость. Исключения — те случаи, когда уязвимости либо связаны между собой, либо их можно скомбинировать в цепочку.

Отчет об уязвимости должен включать:

  • Описание уязвимости.
  • Шаги воспроизведения.
  • Анализ опасности.
  • Рекомендации по устранению.

В отчете также должны содержаться:

  • URL уязвимого приложения.
  • Тип обнаруженной уязвимости.
  • Скриншоты или видеозапись, подтверждающие наличие уязвимости и демонстрирующие шаги ее воспроизведения.
  • Пример форматированного запроса из Burp Suite (или любой другой PoC).
  • Фрагменты кода (в некоторых случаях).
Запущена 8 ноября, 08:59
Изменена 8 ноября, 10:07
Формат программы
По уязвимостям
Награда за уязвимости
по уровню опасности
Критический
70K–105K ₽
Высокий
35K–70K ₽
Средний
7K–35K ₽
Низкий
0–7K ₽
Отсутствует
0–0 ₽
Статистика по программе
0 ₽
Всего выплачено
0 ₽
Средняя выплата
0 ₽
Выплачено за последние 90 дней
1
Всего отчетов принято
Описание
Уязвимости
Рейтинг