Какво е Bug Bounty?
Искаме да знаем дали защитата на сайта ни е достатъчно силна и дали недоброжелателен потребител може да достигне до информация, която да ни навреди. Ако смяташ, че компютърната сигурност ти е сила, виж как можеш да спечелиш награда, като ни помогнеш да намерим потенциална уязвимост.
Правила
Всяка игра си има правила и тази не е по-различна. Ето няколко неща, за които да внимаваш:
• Не можеш да извличаш данни или да ги пренасочваш към други системи.
• Ако откриеш лична информация като част от намерена уязвимост, не трябва да я използваш по никакъв начин.
• Застрашителни действия не са позволени. Предполагаме знаеш кои – phising атаки, атаки, свързани с физическата сигурност, и атаки от типа DDOS.
• Ако откриеш някаква уязвимост, това трябва да остане само между нас, колкото и да искаш да се похвалиш на някого.
Ако си спазил всичко това, то ние няма да предприемаме допълнителни действия като… нали знаеш, завеждане на дело.

Тестване
Тестването на уязвимости носи и своите рискове. За да си сигурен, че тестването ти ще мине безопасно, виж следните стъпки:
• Сподели с нас твоя IP-адрес, за да проверим записите и логовете от дейността ти
• Сложи персонализиран HTTP-хедър в своя трафик на информация
• Кажи ни какъв е твоя хедър, за да го разпознаем по-лесно
• Използвай само оторизирани профили, така че да не навредиш на поверителната информация на нашите потребители
• Използвай следните команди, когато се опитваш да демонстрираш администраторски права
– (Read): cat /proc/1/maps
– (Write): touch /root/<Вашето H1 потребителско име>
– (Execute): (id), (hostname), pwd
• Избягвай автоматизирани програми и инструменти, те могат да променят или повредят работните системи • Ако действието ти може да доведе до щета, първо ни кажи и изчакай да ти дадем зелена светлина
Какво правим с намерените бъгове
Целта ни е да отговорим бързо на подадените доклади и да премахнем бъговете до 120 дни след тяхното откриване.

Твоята награда
Изпращай ни каквито и да е уязвимости, които си открил, защото може да бъдеш възнаграден за усилията си. Размерът на наградата ти зависи от:
• колко сложен е бил бъгът
• типа на засегната интернет страница
• качеството на доклада ти
Можем да увеличим наградата ти, ако предоставиш по-детайлно проучване, с код като доказателство. Можем и да я намелим, ако вредата е с незначително малък риск.
Бъгове, с които да не се занимаваш
• отнасят се до чужди услуги
• не засягат последните версии на браузърите
• вече са докладвани
• изискват малко вероятно взаимодействие с потребителя
• имат минимален риск
• използване на файлове в CSV-формат
• непълни SPF / DKIM

Финален съвет
Разгледай пълната политика на програмата. Там ще намериш цялата информация, която ще ти е необходима. Ако имаш въпрос, пиши ни на bugbounty@tbibank.bg.
-
Пълни условия за участие
732 KB