Търсим ловци на бъгове


Предлагаме награда на всеки, който открие проблеми в сайтовете или платформите ни.

Какво е Bug Bounty?

 

Искаме да знаем дали защитата на сайта ни е достатъчно силна и дали недоброжелателен потребител може да достигне до информация, която да ни навреди. Ако смяташ, че компютърната сигурност ти е сила, виж как можеш да спечелиш награда, като ни помогнеш да намерим потенциална уязвимост.

Правила

Всяка игра си има правила и тази не е по-различна. Ето няколко неща, за които да внимаваш:

 

• Не можеш да извличаш данни или да ги пренасочваш към други системи.

• Ако откриеш лична информация като част от намерена уязвимост, не трябва да я използваш по никакъв начин.

• Застрашителни действия не са позволени. Предполагаме знаеш кои – phising атаки, атаки, свързани с физическата сигурност, и атаки от типа DDOS.

• Ако откриеш някаква уязвимост, това трябва да остане само между нас, колкото и да искаш да се похвалиш на някого.

 

Ако си спазил всичко това, то ние няма да предприемаме допълнителни действия като… нали знаеш, завеждане на дело.

building-block-image

Тестване

Тестването на уязвимости носи и своите рискове. За да си сигурен, че тестването ти ще мине безопасно, виж следните стъпки:

 

• Сподели с нас твоя IP-адрес, за да проверим записите и логовете от дейността ти

• Сложи персонализиран HTTP-хедър в своя трафик на информация

• Кажи ни какъв е твоя хедър, за да го разпознаем по-лесно

• Използвай само оторизирани профили, така че да не навредиш на поверителната информация на нашите потребители

• Използвай следните команди, когато се опитваш да демонстрираш администраторски права

– (Read): cat /proc/1/maps

– (Write): touch /root/<Вашето H1 потребителско име>

– (Execute): (id), (hostname), pwd

• Избягвай автоматизирани програми и инструменти, те могат да променят или повредят работните системи • Ако действието ти може да доведе до щета, първо ни кажи и изчакай да ти дадем зелена светлина

 

Какво правим с намерените бъгове

Целта ни е да отговорим бързо на подадените доклади и да премахнем бъговете до 120 дни след тяхното откриване.

building-block-image

Твоята награда

Изпращай ни каквито и да е уязвимости, които си открил, защото може да бъдеш възнаграден за усилията си. Размерът на наградата ти зависи от:

 

• колко сложен е бил бъгът

• типа на засегната интернет страница

• качеството на доклада ти

Можем да увеличим наградата ти, ако предоставиш по-детайлно проучване, с код като доказателство. Можем и да я намелим, ако вредата е с незначително малък риск.

 

Бъгове, с които да не се занимаваш

• отнасят се до чужди услуги

• не засягат последните версии на браузърите

• вече са докладвани

• изискват малко вероятно взаимодействие с потребителя

• имат минимален риск

• използване на файлове в CSV-формат

• непълни SPF / DKIM

building-block-image

Финален съвет

 

Разгледай пълната политика на програмата. Там ще намериш цялата информация, която ще ти е необходима. Ако имаш въпрос, пиши ни на bugbounty@tbibank.bg.