BugBounty
Какие требования к отчету?
Как исследователю отправить отчет об ошибке?
Если уязвимость не будет описана достаточно подробно, процесс ее обнаружения и исправления значительно затянется, что может в итоге не принести пользы.
Также крайне желательно, чтобы исследователь мог объяснить, как именно он обнаружил данную уязвимость.
Перед отправкой отчета убедитесь, что вы действовали в соответствии с правилами участия ответственного проведения исследований и раскрытия информации(см. правила участия).
Отчет должен содержать подробное описание обнаруженной уязвимости, краткие шаги по ее устранению или работающую концепцию ее исправления. Видео и скриншоты могут демонстрировать сообщение об уязвимости, но не могут заменить отчет.
Как проверяется отчет о найденной уязвимости?
Отчеты об уязвимостях проверяются нашими аналитиками безопасности. Наш анализ всегда основан на худшем сценарии эксплуатации уязвимости, в соответствии с которой, выплачивается вознаграждение. В свою очередь, при оценке ваших отчетов мы придерживаемся следующих принципов:
- мы изучим и ответим на все отправленные нам корректно составленные отчеты. Следует понимать, что мы можем получать большое количество отчетов. В связи с чем в приоритете мы изучаем самые важные из них согласно критичности найденной уязвимости, риску и другим факторам. Вследствие этого нам может понадобиться определенное время на ответ;
- если мы получим несколько отчетов об одной и той же проблеме, вознаграждение получит участник, первым сообщивший о ней. Однако если последующий отчет по ранее оцененной проблеме выявит, что уязвимость является более серьезной, чем предполагалось изначально, возможна выплата вознаграждения за последующий отчет и будет рассмотрен вопрос о повышении суммы вознаграждения за первый отчет;
- мы оставляем за собой право публиковать отчеты (и сопровождающие их обновления);
- мы составляем список специалистов, отправивших полезные отчеты об уязвимостях в системе безопасности. Чтобы попасть в этот список, сначала нужно получить вознаграждение, но включение в него не является обязательным. Исследователи, находящиеся в списках, могут быть приглашены в индивидуальные проекты. Мы оставляем за собой право ограничивать или изменять информацию, связанную с вашими данными в списке.
Статус отчета
Отправка отчета
После отправки отчету выставляется статус открытый
Сортировка
После первой проверки администратором, отчету выставляется статус отсортированный
Рассмотрение отчета
Далее после детального рассмотрения нашими аналитиками безопасности отчету (репорту) может быть выставлен один определенный статус
Cтатусы
Подтвержденный
принят, также выставляется уровень критичности
Дубликат
в случае если уязвимость отправлена другим пользователем ранее
Непригодный
в случае если уязвимость не критична и не представляет значимости
Нужно больше информации
недостаточно информации для подтверждения уязвимости
Закрыт
по результатам подтверждения уязвимости аналитиком безопасности, положительной оценки отчета и назначения вознаграждения исследователю