BugBounty

Какие требования к отчету?

Как исследователю отправить отчет об ошибке?

Если уязвимость не будет описана достаточно подробно, процесс ее обнаружения и исправления значительно затянется, что может в итоге не принести пользы.

Также крайне желательно, чтобы исследователь мог объяснить, как именно он обнаружил данную уязвимость.

Перед отправкой отчета убедитесь, что вы действовали в соответствии с правилами участия ответственного проведения исследований и раскрытия информации(см. правила участия).

Отчет должен содержать подробное описание обнаруженной уязвимости, краткие шаги по ее устранению или работающую концепцию ее исправления. Видео и скриншоты могут демонстрировать сообщение об уязвимости, но не могут заменить отчет.

Как проверяется отчет о найденной уязвимости?

Отчеты об уязвимостях проверяются нашими аналитиками безопасности. Наш анализ всегда основан на худшем сценарии эксплуатации уязвимости, в соответствии с которой, выплачивается вознаграждение. В свою очередь, при оценке ваших отчетов мы придерживаемся следующих принципов:

- мы изучим и ответим на все отправленные нам корректно составленные отчеты. Следует понимать, что мы можем получать большое количество отчетов. В связи с чем в приоритете мы изучаем самые важные из них согласно критичности найденной уязвимости, риску и другим факторам. Вследствие этого нам может понадобиться определенное время на ответ;

- если мы получим несколько отчетов об одной и той же проблеме, вознаграждение получит участник, первым сообщивший о ней. Однако если последующий отчет по ранее оцененной проблеме выявит, что уязвимость является более серьезной, чем предполагалось изначально, возможна выплата вознаграждения за последующий отчет и будет рассмотрен вопрос о повышении суммы вознаграждения за первый отчет;

- мы оставляем за собой право публиковать отчеты (и сопровождающие их обновления);

- мы составляем список специалистов, отправивших полезные отчеты об уязвимостях в системе безопасности. Чтобы попасть в этот список, сначала нужно получить вознаграждение, но включение в него не является обязательным. Исследователи, находящиеся в списках, могут быть приглашены в индивидуальные проекты. Мы оставляем за собой право ограничивать или изменять информацию, связанную с вашими данными в списке.

Статус отчета

icon

Отправка отчета

После отправки отчету выставляется статус открытый

icon

Сортировка

После первой проверки администратором, отчету выставляется статус отсортированный

icon

Рассмотрение отчета

Далее после детального рассмотрения нашими аналитиками безопасности отчету (репорту) может быть выставлен один определенный статус

Cтатусы

icon

Подтвержденный

принят, также выставляется уровень критичности

icon

Дубликат

в случае если уязвимость отправлена другим пользователем ранее

icon

Непригодный

в случае если уязвимость не критична и не представляет значимости

icon

Нужно больше информации

недостаточно информации для подтверждения уязвимости

icon

Закрыт

по результатам подтверждения уязвимости аналитиком безопасности, положительной оценки отчета и назначения вознаграждения исследователю

art