Мы рассмотрим ваше обращение в течение 5 рабочих дней и сообщим о результатах. Пожалуйста, не сообщайте никому информацию о проблемах в безопасности без нашего разрешения.
Добро пожаловать в bug bounty программу Консоли!
Мы уделяем особое внимание безопасности наших продуктов и данных наших пользователей. Поэтому мы приветствуем публичный поиск проблем в безопасности и ответственное раскрытие информации о них. Ниже изложены правила нашей bug bounty программы. Пожалуйста, внимательно прочитайте их.
Мы уделяем особое внимание безопасности наших продуктов и данных наших пользователей. Поэтому мы приветствуем публичный поиск проблем в безопасности и ответственное раскрытие информации о них. Ниже изложены правила нашей bug bounty программы. Пожалуйста, внимательно прочитайте их.
Таблица наград
Low
3 500 — 7 000 ₽
Medium
7 000 — 35 000 ₽
High
35 000 — 70 000 ₽
Critical
70 000 — 105 000 ₽
Первый исследователь, сообщивший о неизвестной ранее валидной уязвимости может получить награду. В качестве награды мы предлагаем денежное вознаграждение и фирменные подарки. Размер вознаграждения зависит от критичности найденной уязвимости.
Мы оцениваем уязвимости в индивидуальном порядке с учетом VRT и нашей экспертизы. Критичность уязвимости может быть понижена/повышена в зависимости от потенциального ущерба при реализации атаки.
Мы оцениваем уязвимости в индивидуальном порядке с учетом VRT и нашей экспертизы. Критичность уязвимости может быть понижена/повышена в зависимости от потенциального ущерба при реализации атаки.
Правила программы
- Составляйте подробные отчеты с рабочими шагами для воспроизведения и сценарием атаки. Если отчет оформлен недостаточно подробно чтобы воспроизвести проблему, он может быть лишен права на получение вознаграждения.
- При поиске уязвимостей избегайте нарушения конфиденциальности и целостности данных, а также доступности наших продуктов.
- Не проводите автоматизированный перебор, атаки на отказ в обслуживании (DoS и DDoS), не отправляйте спам нашим пользователям, не занимайтесь социальной инженерией и фишингом наших сотрудников и подрядчиков.
- Обращения в техподдержку и отправка любых форм, которые будут обработаны людьми, строго запрещены.
- В случае дубликата мы наградим только первый полученный отчет (при условии, что он полностью воспроизводится).
- Известные нам проблемы, находящиеся в процессе исправления, не претендуют на вознаграждение.
- Никому не сообщайте информацию о найденной уязвимости без нашего разрешения.
- Публичные 0-day уязвимости с официальным патчем, выпущенным менее 2 месяцев назад, могут рассматриваться как дубликаты, если они известны нашей команде из общедоступных источников.
Направления поиска
Домены:
app.konsol.pro
api.konsol.pro
Уязвимости, найденные на других доменах Консоли, также принимаются, но решение о вознаграждении остается на усмотрение Консоли.
app.konsol.pro
api.konsol.pro
Уязвимости, найденные на других доменах Консоли, также принимаются, но решение о вознаграждении остается на усмотрение Консоли.
Исключения из программы
Мы не рассматриваем и не принимаем как уязвимости:
- Сообщения от сканеров безопасности и других средств автоматического сканирования.
- Сообщения без демонстрации реального существования уязвимости.
- Сообщения без указания на достоверно возможные негативные последствия.
- Сообщения об отсутствии заголовков безопасности.
- Clickjacking отчеты, основанные на отсутствии HTTP заголовков. Для рассмотрения Clickjacking отчета необходимо предоставить валидный PoC и сценарий атаки с описанием негативных последствий от её реализации.
- Сообщения об отсутствии лучших практик безопасности.
- Атаки, требующие MITM или физический доступ к устройству пользователя.
- Уязвимости, которые затрагивают только пользователей устаревших или уязвимых браузеров и платформ.
- Уязвимости, которыми можно навредить только самому себе.
Исследования осуществляются
ООО "Консоль.ПРО" при поддержке фонда «Сколково»
ООО "Консоль.ПРО" при поддержке фонда «Сколково»
Материалы
Разделы
Вакансии