Bug Bounty Program

Στο Appbox, η ασφάλεια αποτελεί θεμελιώδη προτεραιότητα. Ενθαρρύνουμε ενεργά τους security researchers να βοηθούν στην ενίσχυση της πλατφόρμας μας εντοπίζοντας και αναφέροντας πιθανές ευπάθειες. Το παρόν πρόγραμμα περιγράφει την προσέγγισή μας στην υπεύθυνη έρευνα ασφαλείας, τον τρόπο με τον οποίο χειριζόμαστε αναφορές ευπαθειών και τις ανταμοιβές που προσφέρουμε στους ερευνητές που βοηθούν στη βελτίωση της στάσης ασφαλείας μας.

Η δέσμευσή μας

Όταν συμμετέχετε στο bug bounty program μας, υποσχόμαστε να:

• Αναγνωρίζουμε και αξιολογούμε την αναφορά σας εγκαίρως
• Αντιμετωπίζουμε επιβεβαιωμένες ευπάθειες με την κατάλληλη επείγουσα προτεραιότητα
• Σας αναγνωρίζουμε και σας ανταμείβουμε για μοναδικές, προηγουμένως μη αναφερθείσες ευπάθειες που οδηγούν σε βελτιώσεις ασφαλείας

Κάλυψη προγράμματος

Το παρόν bug bounty program εφαρμόζεται στις ακόλουθες πλατφόρμες Appbox:

• Appbox Primary Website [https://www.appbox.co]
• Appbox Control Panel [https://www.appbox.co/login]
• Appbox Hosting Infrastructure [username.appboxes.co] - Μόνο υποδομή, όχι εφαρμογές πελατών

Σημείωση: Παρότι η hosting infrastructure μας (username.appboxes.co) είναι εντός πεδίου, οι ευπάθειες σε third-party εφαρμογές που αναπτύσσονται από πελάτες δεν είναι. Δείτε τις εξαιρέσεις παρακάτω.

Τι θεωρείται έγκυρη ευπάθεια

Για να πληροί τις προϋποθέσεις του bug bounty program μας, μια υποβολή πρέπει να καλύπτει ΟΛΑ τα ακόλουθα κριτήρια:

1. Να αποδεικνύει πραγματική εκμετάλλευση

• Να περιλαμβάνει λειτουργικό proof of concept που αποδεικνύει ότι η ευπάθεια μπορεί να γίνει exploit
• Να δείχνει σαφή επίπτωση ασφαλείας, καθώς θεωρητικές ευπάθειες χωρίς αποδεδειγμένη βλάβη δεν πληρούν τις προϋποθέσεις
• Να αποδεικνύει ότι ένας επιτιθέμενος θα μπορούσε πράγματι να θέσει σε κίνδυνο user data, accounts ή system integrity

2. Να επηρεάζει συστήματα εντός πεδίου

• Η ευπάθεια πρέπει να υπάρχει στον ιδιόκτητο κώδικα ή την υποδομή του Appbox
• Πρέπει να επηρεάζει συστήματα που αναφέρονται ρητά στην "Κάλυψη προγράμματος" παραπάνω
• Πρέπει να είναι αναπαραγώγιμη στα production ή staging environments μας

3. Να μην έχει αναφερθεί προηγουμένως

• Η ευπάθεια πρέπει να έχει ανακαλυφθεί πρόσφατα και να μην είναι ήδη γνωστή σε εμάς
• Διπλότυπες αναφορές ή παραλλαγές γνωστών ζητημάτων δεν πληρούν τις προϋποθέσεις

Εξαιρούμενες περιοχές και ζητήματα

Τα ακόλουθα θεωρούνται εκτός πεδίου του bug bounty program μας:

Third-party systems και integrations

• WHMCS Client Area [https://billing.appbox.co] - Αναφέρετε στο WHMCS Security
• Chatwoot chat widget - Αναφέρετε στο Chatwoot Security
• Customer-deployed applications [app.username.appboxes.co] - Ευπάθειες σε third-party εφαρμογές (WordPress, Nextcloud κ.λπ.) που φιλοξενούνται στην υποδομή μας πρέπει να αναφέρονται στους αντίστοιχους application vendors
• Οποιεσδήποτε άλλες third-party υπηρεσίες, plugins ή integrations που χρησιμοποιούμε
• IP addresses ή domains που δεν ελέγχονται απευθείας από το Appbox
• Legacy ή deprecated systems που δεν βρίσκονται πλέον σε ενεργή χρήση

Εκτός πεδίου για Hosting Infrastructure:

• Ευπάθειες μέσα σε application code που αναπτύσσεται από πελάτες (WordPress, Nextcloud κ.λπ.)
• Προεπιλεγμένες διαμορφώσεις third-party εφαρμογών
• Ζητήματα ασφαλείας που αφορούν συγκεκριμένη έκδοση εφαρμογής

Security headers και hardening

• Ελλείποντα security headers (X-Frame-Options, COOP, COEP, MTA-STS κ.λπ.) εκτός αν αποδείξετε πραγματική εκμετάλλευση που οδηγεί σε data compromise
• Ελλείποντα attributes rel="noopener" ή rel="noreferrer"
• Αποκάλυψη έκδοσης server ή διαρροή πληροφοριών HTTP header
• Cookie attributes σε μη ευαίσθητα cookies (analytics, preferences κ.λπ.)

Low-impact information disclosure

• Αναλυτικά error messages που δεν εκθέτουν sensitive data (passwords, tokens, PII)
• Path disclosure χωρίς αποδεδειγμένο path traversal ή file access
• Αναγνώριση technology stack (PHP version, framework detection κ.λπ.)
• Γενικές αποκρίσεις ή συμπεριφορά εφαρμογής

Design decisions και θεωρητικά ζητήματα

• Login CSRF (δεν παρέχει στον επιτιθέμενο πρόσβαση στους λογαριασμούς των θυμάτων)
• User enumeration μέσω timing attacks ή differential responses (εκτός αν αποτελεί μέρος μεγαλύτερης attack chain)
• Clickjacking χωρίς αποδεδειγμένη εκμετάλλευση ευαίσθητης λειτουργικότητας
• CORS configurations σε μη ευαίσθητα endpoints
• Ελλείπον rate limiting εκτός αν αποδείξετε πραγματική κατάχρηση (το DoS παραμένει εξαιρούμενο)

Προαπαιτούμενα επίθεσης

• Ζητήματα ασφαλείας που δεν επηρεάζουν τις προεπιλεγμένες διαμορφώσεις εφαρμογών μας
• Ευπάθειες που απαιτούν μη τυπικές διαμορφώσεις
• Ευπάθειες στα containers μας που απαιτούν custom ή τροποποιημένα setups
• Ζητήματα που απαιτούν network-level compromise (MITM, DNS poisoning, ARP spoofing)

Απαγορευμένες μέθοδοι testing

• Timing-based information disclosure attacks
• Process enumeration techniques
• Οποιαδήποτε μορφή denial of service ή high-volume attacks
• Social engineering και phishing techniques
• Automated security scanning που δημιουργεί υπερβολικό traffic ή load
• Testing μη λειτουργικών features ή σελίδων (π.χ. signup pages που δεν είναι ακόμη σε production)

Μη έγκυροι τύποι αναφορών

• Αναφορές που βασίζονται αποκλειστικά σε automated scanner output χωρίς manual validation
• Γενικές συστάσεις χωρίς απόδειξη πραγματικών ευπαθειών
• Best practice suggestions χωρίς security impact
• Compliance observations (PCI-DSS, GDPR κ.λπ.) χωρίς απόδειξη exploitability

Δομή ανταμοιβών

Main Website και Control Panel

Hosting Infrastructure

Οι contributors που αναφέρουν έγκυρες ευπάθειες θα αναγνωρίζονται στο Security Researchers Hall of Fame μας ως ένδειξη εκτίμησης.

Απαιτούμενη ποιότητα αναφοράς

Όλες οι αναφορές ευπαθειών πρέπει να περιλαμβάνουν:

• Σαφή περιγραφή ευπάθειας - Εξηγήστε ποια είναι η ευπάθεια και γιατί έχει σημασία
• Επηρεαζόμενο σύστημα/URL - Προσδιορίστε ακριβώς πού υπάρχει η ευπάθεια
• Βήματα αναπαραγωγής - Αναλυτικά βήματα που μας επιτρέπουν να αναπαράγουμε το ζήτημα
• Λειτουργικό proof of concept - Λειτουργική επίδειξη εκμετάλλευσης (κώδικας, screenshots, video)
• Πραγματικό security impact - Δείξτε τι θα μπορούσε να επιτύχει ένας επιτιθέμενος, όχι θεωρητικές δυνατότητες
• Δικό σας testing - Επαληθεύστε τα ευρήματα χειροκίνητα, μην προωθείτε απλώς scanner output

Αναφορές που στερούνται αυτά τα στοιχεία ή αποτελούνται από γενικές συστάσεις ασφαλείας δεν θα πληρούν τις προϋποθέσεις για ανταμοιβές.

Διεκδίκηση ανταμοιβής

• Μπορείτε να επιλέξετε ανάμεσα σε δύο επιλογές ανταμοιβής:
  • Άμεση πληρωμή PayPal (απαιτεί έγκυρο PayPal account)
  • Appbox service credits (εφαρμόσιμα σε οποιαδήποτε υπηρεσία Appbox, μη μεταβιβάσιμα)

Οδηγίες συμμετοχής

• Τηρείτε την παρούσα πολιτική, τους Terms of Service και όλους τους ισχύοντες νόμους
• Αναφέρετε ευπάθειες άμεσα μετά την ανακάλυψη
• Σεβαστείτε την ιδιωτικότητα των χρηστών και την ακεραιότητα των συστημάτων κατά την έρευνά σας
• Υποβάλλετε όλες τις αναφορές ευπαθειών αποκλειστικά μέσω της contact us form
• Διατηρείτε εμπιστευτικότητα σχετικά με τις ανακαλυφθείσες ευπάθειες μέχρι να επιλυθούν
• Περιορίστε το testing σας στα συστήματα που περιλαμβάνονται ρητά στο πρόγραμμα
• Αν αποκτήσετε απρόσμενη πρόσβαση σε sensitive data: προσπελάστε μόνο την ελάχιστη ποσότητα που απαιτείται για να αποδείξετε το ζήτημα, σταματήστε αμέσως το testing και αναφέρετε την ευπάθεια άμεσα
• Χρησιμοποιείτε μόνο δικούς σας test accounts για οποιαδήποτε αλληλεπίδραση με τα συστήματά μας
• Μην επιχειρήσετε ποτέ να εκβιάσετε το Appbox με βάση τα ευρήματά σας
• Επαληθεύστε τα ευρήματά σας - Δοκιμάστε ότι το proof of concept σας λειτουργεί πράγματι πριν το υποβάλετε
• Εστιάστε στο impact - Δώστε προτεραιότητα σε ευπάθειες που θα μπορούσαν να προκαλέσουν πραγματική βλάβη έναντι θεωρητικών ζητημάτων

Νομική προστασία

Οι security researchers που ακολουθούν την παρούσα πολιτική μπορούν να αναμένουν:

• Προστασία από νομικές ενέργειες για έρευνα ασφαλείας καλής πίστης που διεξάγεται εντός αυτών των οδηγιών
• Εξαίρεση από anti-circumvention legal claims όταν είναι απαραίτητη για νόμιμη έρευνα ασφαλείας
• Παραίτηση από ορισμένους περιορισμούς πολιτικής που διαφορετικά θα εμπόδιζαν το security testing
• Αναγνώριση ότι η συμμορφούμενη έρευνα ασφαλείας είναι ωφέλιμη και διεξάγεται καλόπιστα

Παραμένετε υπεύθυνοι για τη συμμόρφωση με όλους τους ισχύοντες νόμους. Αν αντιμετωπίσετε νομική ενέργεια από τρίτο μέρος ενώ τηρείτε την παρούσα πολιτική, θα επιβεβαιώσουμε ότι οι ενέργειές σας διεξήχθησαν σε συμμόρφωση με το πρόγραμμά μας. Αν δεν είστε βέβαιοι αν οι σχεδιαζόμενες ερευνητικές σας δραστηριότητες συμμορφώνονται με την παρούσα πολιτική, παρακαλούμε επικοινωνήστε μαζί μας μέσω της contact us form πριν προχωρήσετε.

Διαδικασία αναφοράς

Για να αναφέρετε μια ευπάθεια, δημιουργήστε ένα λεπτομερές ticket μέσω της contact us form.

• Η αναφορά σας πρέπει να περιλαμβάνει πλήρη βήματα για την αναπαραγωγή της ευπάθειας. Μπορείτε να χρησιμοποιήσετε αυτό το template ως οδηγό: https://github.com/ZephrFish/BugBountyTemplates/blob/master/Example.md
• Όλες οι επικοινωνίες του προγράμματος πρέπει να περνούν από την επίσημη Support Ticket Platform μας
• Η δημόσια αποκάλυψη οποιασδήποτε ευπάθειας χωρίς ρητή γραπτή άδεια από το Appbox παραβιάζει τους όρους του προγράμματος και θα σας αποκλείσει από τη λήψη ανταμοιβής

Τι συμβαίνει μετά την αναφορά

• Έγκυρες ευπάθειες: Θα αναγνωρίσουμε την αναφορά σας, θα εργαστούμε για επιδιόρθωση και θα επεξεργαστούμε την ανταμοιβή σας
• Μη έγκυρες αναφορές: Θα εξηγήσουμε γιατί η αναφορά δεν πληροί τις προϋποθέσεις και ενδέχεται να παρέχουμε καθοδήγηση για μελλοντικές υποβολές
• Out-of-scope reports: Θα σας παραπέμψουμε στον κατάλληλο vendor ή θα εξηγήσουμε γιατί το ζήτημα δεν καλύπτεται

Εκτιμούμε την ποιοτική έρευνα και τις εποικοδομητικές συνεισφορές στην ασφάλειά μας. Σας ευχαριστούμε που βοηθάτε να παραμένει το Appbox ασφαλές.