Награда за обнаружение ошибок

Обзор

Программа Bug Bounty компании RapidSwap — это инициатива в области кибербезопасности, направленная на привлечение независимых исследователей безопасности к выявлению и использованию уязвимостей в системах и приложениях компании. Участники получают финансовое вознаграждение за каждую выявленную и задокументированную уязвимость, размер вознаграждения зависит от уровня риска и сложности использования уязвимости. Принимая участие в этой программе, вы соглашаетесь с положениями и условиями, изложенными ниже.

Где можно найти эксплойты для уязвимостей?

Домен:

rapidswap.org

Телеграм-канал:

@rapidswap_support

Награды за уязвимости

Вознаграждение выплачивается в USDT или эквиваленте в другой криптовалюте (BTC, ETH, LTC, XMR).

  • Критический: 400 - 1000 USDT
  • Высокий: 200 - 400 USDT
  • Середина: 100 - 200 USDT
  • Низкий: 50 - 100 USDT
  • Отсутствующий: 0 USDT

Уязвимости, которые мы НЕ принимаем

  • Результаты работы сканеров уязвимостей и различных автоматизированных инструментов
  • Раскрытие неконфиденциальной информации, например версии продукта.
  • Публикация общедоступных данных пользователя, таких как псевдоним.
  • Отчеты, касающиеся версий продукта или протокола, не содержащие доказательств фактической уязвимости.
  • Отчеты об отсутствии механизмов защиты или передовых методов (например, отсутствие маркеров CSRF и мер защиты от фрейминга или кликджекинга) не демонстрируют какого-либо реального влияния на безопасность пользователя или системы.
  • Документация как опубликованных, так и неопубликованных записей DNS для SPF, DKIM и DMARC.
  • Подделка межсайтовых запросов, приводящая к выходу из системы (CSRF-атака выхода из системы)
  • Уязвимости в партнерских продуктах или услугах
  • Безопасность устройств, подвергшихся рутированию, джейлбрейку или иным образом модифицированных, а также установленных на них приложений.
  • Возможность обратного проектирования приложения или недостаточные меры защиты от этой уязвимости.
  • Открытые перенаправления будут разрешены только в случае выявления угрозы безопасности, например, потенциальной кражи токена авторизации.
  • Ввод неформатированного текста, звука, изображений или видео в ответ сервера за пределами пользовательского интерфейса (например, в данные JSON или сообщение об ошибке) допускается, если это не приводит к подмене пользовательского интерфейса, изменению поведения пользовательского интерфейса или возникновению других неблагоприятных последствий.
  • Скриптинг, загрузка и аналогичные атаки на одном и том же сайте
  • Отчеты, связанные с CSP, для доменов, в которых отсутствует политика безопасности контента, а также для доменов с небезопасными директивами eval/inline в политиках домена.C
  • Атаки IDN-гомографии
  • Cross Site Port Attack (XSPA) (сканирование IP/портов во внешние сети)
  • Внедрение формулы Excel CSV
  • Self-XSS без демонстрации воздействия
  • Атаки, требующие полного доступа либо к локальной учетной записи, либо к профилю браузера.
  • Сценарные атаки, в которых в качестве предварительного условия используется недоказанная уязвимость на стороннем сайте или в приложении.
  • Теоретические атаки без доказательства возможности эксплуатации
  • Уязвимости типа «отказ в обслуживании» (DoS), связанные с отправкой чрезмерных запросов или данных.
  • Раскрытие неиспользуемых или должным образом ограниченных ключей API JS (например, ключа API для внешней службы картографирования)
  • Возможность выполнения действия, недоступного через пользовательский интерфейс, без возникновения каких-либо выявленных рисков безопасности.
  • Отсутствуют рекомендации по настройке SSL/TLS
  • Отсутствуют заголовки HTTP и флаги cookie

Ограничения при тестировании уязвимостей

  • При тестировании RCE, SQLi, LFR, SSTI разрешается использовать только МИНИМАЛЬНО возможный Proof of Concept (PoC) для доказательства (сон, чтение /etc/passwd, curl)
  • Доступ к учетным записям пользователей, данным или любой другой конфиденциальной информации, выходящий за рамки основных действий, необходимых для демонстрации выявленной уязвимости, запрещен.
  • Execute attacks on RapidSwap systems by employing social engineering tactics such as phishing and vishing, along with sending spam emails to clients, partners, and employees.

Требования к дизайну отчета

Отчет об уязвимостях будет включать следующие разделы:

  • Название уязвимости
  • Название и версия затронутого компонента программного обеспечения.
  • Подробный обзор выявленной уязвимости с инструкциями по ее воспроизведению (включая видео и/или снимки экрана).
  • Обзор сценария атаки: кто может воспользоваться уязвимостью, предполагаемая цель, метод эксплуатации и другие соответствующие детали.
  • Рекомендации по устранению уязвимости

Правила рассмотрения отчетов об уязвимостях

  • Мы свяжемся с вами в течение 5 рабочих дней.
  • Мы обрабатываем сообщения в течение 10 рабочих дней с момента получения ответа.
  • Возможно, нам придется увеличить время, необходимое для обработки отчетов; если это произойдет, мы уведомим вас о задержке.
  • Мы оценим сумму вознаграждения в течение 15 рабочих дней после обработки.
  • Мы оставляем за собой право обновлять окончательный уровень угрозы, связанный с выявленной уязвимостью.

Отправляйте отчеты об уязвимостях по адресу [email protected] .