Ми використовуємо cookie-файли
Для оптимізації роботи нашого сайту ми використовуємо cookie-файли. Продовжуючи використовувати сайт, Ви погоджуєтеся з використанням cookie-файлів.
Новий дизайн
Панель керування
  • Русский
  • Українська
  • English
  • UAH
  • USD
  • RUB
  • EUR
  • 0-800-307-307 Гаряча лінія
  • +38 (044) 392-74-33 Київ
  • +38 (057) 728-39-00 Харків
  • +38 (056) 794-38-31 Дніпро
  • +38 (032) 229-58-93 Львів
  • +38 (048) 738-57-70 Одеса
  • +38(093) 170-15-42  Life
  • +38 (067) 400-88-44 Київстар
  • +1(888)393-24-51  USA, Toll free
  • +44(131)507-01-14  Great Britain
  • +7 (499) 348-28-61 Москва
Меню

Bug Bounty

Нам важливо зберігати дані користувачів в безпеці, тому ми готові до співпраці з людьми, які займаються пошуком вразливостей, і винагороджувати їх.

Винагорода

Хостинг Україна надає винагороду за знайдені вразливості. Мінімальна сума винагороди - 50$, Максимальна - 500$. Сума винагороди залежить від рівня вразливості, яка визначається тим, наскільки реально використовувати уразливість:

  1. Високий рівень - до 500$. Доступ до центральної бази даних, доступ до вихідного коду, виконання на центральному сервері довільних команд, виконання на сервері хостингу довільних команд від root-користувача або доступ до аккаунту без участі власника аккаунта.
  2. Середній рівень - до 250$. Атаки, для проведення яких необхідно, щоб користувач перейшов по певному посиланню.
  3. Низький рівень - до 150$. Потенційні атаки, які важко зробити або для яких повинні співпасти велика кількість чинників.

Звіти

Для збільшення довіри до сторін процес подачі звіту про уразливість проводиться за наступним алгоритмом:

  1. Пишете на email запит щодо можливості подачі звіту. Ми відповімо вам, що готові прийняти нову вразливість. Зробимо ми це тільки в тому випадку, якщо у нас немає в роботі інших вразливостей. Так як може бути ситуація, що хтось уже повідомив про ту ж уразливості, і вийде, що ви прислали вразливість, а винагорода за неї не отримаєте.
  2. Після отримання згоди перевіряєте можливість використання уразливості.
  3. Подаєте тільки один баг. Не варто надсилати відразу безліч багів, так як нерідко бувають випадки, коли при закритті уразливості вона закривається відразу ж і в інших місцях. Адже один рядок коду може викликатися з сотні місць в програмі.
  4. Ми вивчаємо ступінь впливу і реальність експлуатації уразливості.
  5. Виправляємо баг.
  6. Виплачуємо винагороду на PayPal, розрахунковий рахунок, карту, рахунок WebMoney. У нас немає можливості робити виплати в криптовалюта (Bitcoin і інших), так як ми їх не використовуємо.

Умови

  1. До програми не належать сторонні розробки, zero-day-вразливості операційних систем, помилки в ядрах процесорів і інші уразливості, на які ми вплинути не можемо.
  2. Програма поширюється тільки на сайт ukraine.com.ua, auth.adm.tools і adm.tools.
  3. Не використовуйте знайдену уразливість для зміни інформації або отримання несанкціонованого доступу до неї. Для тестування використовуйте свій обліковий запис.
  4. Якомога швидше повідомте нам, якщо ви ненароком змінили дані, які не варто було б міняти. Не шукайте, не змінюйте і не зберігайте дані, які були отримані в разі виявлення уразливості.
  5. Дійте з добре умислом, щоб не порушувати приватність інших користувачів, не виводити з ладу сервіси.
  6. Дійте в рамках законодавства.
  7. Винагорода отримує перший, хто повідомить про уразливість.
  8. Публікація в інтернеті уразливості до її вирішення може привести до скасування винагороди. Ми не будемо вести переговори у відповідь на загрози (наприклад, ми не будемо вести переговори про суму виплати під загрозою приховування вразливості або загрози розкриття уразливості або будь-яких відкритих даних для громадськості).

Уразливості, за які не виплачується винагорода

Наступні питання виходять за рамки нашої програми винагород:

  1. Наша політика щодо наявності / відсутності записів SPF / DMARC.
  2. Політики пароля, електронної пошти та облікового запису, такі як перевірка ідентифікатора електронної пошти, закінчення строку дії посилання для скидання, складність пароля.
  3. Відсутність токенов CSRF (якщо немає доказів фактичного, конфіденційного дії користувача, що не захищеного токеном).
  4. Вхід / вихід CSRF.
  5. Атаки, що вимагають фізичного доступу до пристрою користувача.
  6. Відсутні заголовки безпеки, які не призводять безпосередньо до уразливості.
  7. Відсутність передових методів (нам необхідні докази уразливості системи безпеки).
  8. Розміщення шкідливого / довільного контенту на хостингу.
  9. Self-XSS (нам потрібні докази того, як XSS можна використовувати для атаки іншого користувача).
  10. Ми будемо приймати повідомлення про уразливість операційної системи і сторонніх продуктів, але не будемо винагороджувати їх.
  11. Ін'єкції заголовків хоста, якщо ви не можете показати, як вони можуть призвести до крадіжки даних користувача.
  12. Використання завідомо вразливою бібліотеки (без доказів можливості використання).
  13. Звіти від автоматичних інструментів або сканувань.
  14. Уразливості, що впливають на користувачів застарілих браузерів або платформ.
  15. Соціальна інженерія співробітників або підрядників Хостингу Україна.
  16. Наявність атрибута автозаповнення в веб-формах.
  17. Відсутні прапори cookie для нечутливих файлів cookie.
  18. Звіти про небезпечні шифри SSL / TLS (якщо у вас немає робочого докази концепції, а не тільки звіту від сканера).
  19. Будь-звіт, в якому йде мова про, як дізнатися, чи має дане ім'я користувача або адресу електронної пошти облікового запису на хостингу.
  20. Будь-звіт про обхід наших обмежень на послуги, що надаються.
  21. Уразливості, пов'язані з підміною контенту (коли ви можете тільки вставити текст або зображення на сторінку), виходять за рамки. Ми приймемо і усунемо вразливість, пов'язану зі Спуфінга, коли зловмисник може ввести зображення або форматований текст (HTML), але це не має права на винагороду. Впровадження чистого тексту виходить за рамки.
  22. Створення декількох облікових записів з використанням одного і того ж адреси електронної пошти також виходить за рамки.
  23. Ризик фішингу через проблеми з unicode / punycode або RTLO.
  24. Можливість визначити чи є користувач зареєстрованим на хостингу, якщо відомий його e-mail.
  25. Уразливість пов'язану з тим, що ми відключили DMARC. Чи не є вразливістю те, що сторонні сервера ігнорують SPF записи і приймають листи від сторонніх сервісів (в тому числі і gmail).
  26. Будь-який вид flood і bruteforce, DOS і DDOS атак на сайт виходить за рамки.
  27. Крадіжка XSS токена з підміною _return_url ні до чого не приведе, тому що в підпис закладено домен вказаний в _return_url і працювати вкрадений таким чином токен не буде.
  28. Наявність на GitHub паролів до FTP з адресами * .ftp.ukraine.com.ua відноситься до уязвимостям наших клієнтів. Ми не використовуємо для публікації програмного коду FTP протокол.

Заключні положення

  1. Ви несете відповідальність за сплату будь-яких податків, пов'язаних з винагородами.
  2. Ми можемо змінити умови цієї програми або припинити її в будь-який час. Ми не будемо застосовувати будь-які зміни, внесені в ці умови програми, заднім числом.
  3. Співробітники Хостинг Україна і члени їх сімей не мають права на винагороду.
  4. Хостинг Україна може надати вам безкоштовний доступ до продуктів. Цей доступ призначений виключно для цілей тестування і може бути анульований в будь-який час з попереднім повідомленням або без нього.