Программа Bug Bounty

В Appbox безопасность является фундаментальным приоритетом. Мы активно поощряем security researchers помогать укреплять нашу платформу, выявляя и сообщая о потенциальных уязвимостях. Эта программа описывает наш подход к ответственным исследованиям безопасности, то, как мы обрабатываем отчеты об уязвимостях, и вознаграждения, которые мы предлагаем исследователям, помогающим улучшать нашу security posture.

Наши обязательства

Участвуя в нашей bug bounty program, вы можете рассчитывать, что мы:

• Своевременно подтвердим получение и оценим ваш отчет
• Будем устранять подтвержденные уязвимости с надлежащей срочностью
• Признаем и вознаградим вас за уникальные, ранее не сообщавшиеся уязвимости, которые приводят к улучшению безопасности

Охват программы

Эта bug bounty program распространяется на следующие платформы Appbox:

• Основной сайт Appbox [https://www.appbox.co]
• Control Panel Appbox [https://www.appbox.co/login]
• Hosting Infrastructure Appbox [username.appboxes.co] - только инфраструктура, не клиентские приложения

Примечание: Хотя наша hosting infrastructure (username.appboxes.co) входит в scope, уязвимости в сторонних приложениях, развернутых клиентами, не входят. См. исключения ниже.

Что считается действительной уязвимостью

Чтобы отчет подходил под нашу bug bounty program, он должен соответствовать ВСЕМ следующим критериям:

1. Демонстрировать реальную эксплуатацию

• Включать рабочий proof of concept, показывающий, что уязвимость можно эксплуатировать
• Показывать четкое влияние на безопасность; теоретические уязвимости без продемонстрированного вреда не подходят
• Доказывать, что атакующий действительно мог бы скомпрометировать пользовательские данные, аккаунты или целостность системы

2. Затрагивать системы в scope

• Уязвимость должна существовать в собственном коде или инфраструктуре Appbox
• Она должна затрагивать системы, явно перечисленные в разделе "Охват программы" выше
• Она должна воспроизводиться в наших production или staging окружениях

3. Быть ранее неизвестной

• Уязвимость должна быть новой и не известной нам ранее
• Дублирующие отчеты или вариации известных проблем не подходят

Исключенные области и проблемы

Следующее считается вне scope нашей bug bounty program:

Сторонние системы и интеграции

• WHMCS Client Area [https://billing.appbox.co] - сообщайте в WHMCS Security
• Chatwoot chat widget - сообщайте в Chatwoot Security
• Приложения, развернутые клиентами [app.username.appboxes.co] - об уязвимостях в сторонних приложениях (WordPress, Nextcloud и т. д.), размещенных на нашей инфраструктуре, следует сообщать соответствующим поставщикам этих приложений
• Любые другие сторонние сервисы, plugins или интеграции, которые мы используем
• IP-адреса или домены, не находящиеся под прямым контролем Appbox
• Legacy или устаревшие системы, которые больше не используются активно

Вне scope для hosting infrastructure:

• Уязвимости в коде приложений, развернутых клиентами (WordPress, Nextcloud и т. д.)
• Конфигурации сторонних приложений по умолчанию
• Проблемы безопасности, специфичные для конкретной версии приложения

Security headers и hardening

• Отсутствующие security headers (X-Frame-Options, COOP, COEP, MTA-STS и т. д.) если только вы не демонстрируете реальную эксплуатацию, ведущую к компрометации данных
• Отсутствующие атрибуты rel="noopener" или rel="noreferrer"
• Раскрытие версии сервера или утечка информации через HTTP headers
• Cookie attributes у не чувствительных cookies (analytics, preferences и т. д.)

Раскрытие информации с низким impact

• Подробные сообщения об ошибках, которые не раскрывают чувствительные данные (пароли, tokens, PII)
• Раскрытие путей без продемонстрированного path traversal или доступа к файлам
• Идентификация technology stack (версия PHP, обнаружение framework и т. д.)
• Типовые ответы или поведение приложения

Дизайнерские решения и теоретические проблемы

• Login CSRF (не дает атакующему доступ к аккаунтам жертв)
• User enumeration через timing attacks или различающиеся ответы (если это не часть более крупной attack chain)
• Clickjacking без продемонстрированной эксплуатации чувствительной функциональности
• CORS configurations на не чувствительных endpoints
• Отсутствие rate limiting если только вы не демонстрируете реальное злоупотребление (DoS все равно исключен)

Предварительные условия атаки

• Проблемы безопасности, не затрагивающие наши стандартные конфигурации приложений
• Уязвимости, требующие нестандартных конфигураций
• Уязвимости в наших контейнерах, требующие custom или modified setups
• Проблемы, требующие компрометации на сетевом уровне (MITM, DNS poisoning, ARP spoofing)

Запрещенные методы тестирования

• Timing-based information disclosure attacks
• Методы process enumeration
• Любые формы denial of service или high-volume attacks
• Social engineering и phishing techniques
• Automated security scanning, создающий чрезмерный трафик или нагрузку
• Тестирование неработающих функций или страниц (например, signup pages, еще не находящихся в production)

Недействительные типы отчетов

• Отчеты, основанные только на выводе automated scanner без ручной проверки
• Общие рекомендации без демонстрации реальных уязвимостей
• Best practice suggestions без влияния на безопасность
• Compliance observations (PCI-DSS, GDPR и т. д.) без демонстрации exploitability

Структура вознаграждений

Основной сайт и Control Panel

Hosting Infrastructure

Участники, сообщившие о действительных уязвимостях, будут отмечены в нашем Security Researchers Hall of Fame в знак благодарности.

Требования к качеству отчета

Все отчеты об уязвимостях должны включать:

• Четкое описание уязвимости - объясните, что это за уязвимость и почему она важна
• Затронутая система/URL - укажите, где именно существует уязвимость
• Пошаговое воспроизведение - подробные шаги, позволяющие нам воспроизвести проблему
• Рабочий proof of concept - функциональная демонстрация эксплуатации (код, screenshots, video)
• Реальное влияние на безопасность - покажите, что мог бы сделать атакующий, а не теоретические возможности
• Собственное тестирование - проверяйте находки вручную, не пересылайте только scanner output

Отчеты без этих элементов или состоящие из общих рекомендаций по безопасности не подходят для вознаграждений.

Получение вознаграждения

• Вы можете выбрать один из двух вариантов вознаграждения:
  • Прямой платеж PayPal (требуется действующий PayPal account)
  • Appbox service credits (применимы к любому сервису Appbox, не подлежат передаче)

Правила участия

• Соблюдайте эту политику, наши Terms of Service и все применимые законы
• Сообщайте об уязвимостях вскоре после обнаружения
• Уважайте privacy пользователей и целостность систем во время исследования
• Отправляйте все отчеты об уязвимостях исключительно через нашу contact us form
• Сохраняйте конфиденциальность обнаруженных уязвимостей до их устранения
• Ограничивайте тестирование системами, явно включенными в эту программу
• Если вы получили неожиданный доступ к чувствительным данным: откройте только минимальный объем, необходимый для демонстрации проблемы, немедленно прекратите тестирование и оперативно сообщите об уязвимости
• Используйте только собственные test accounts для любого взаимодействия с нашими системами
• Никогда не пытайтесь вымогать что-либо у Appbox на основе своих находок
• Проверяйте свои находки - убедитесь, что ваш proof of concept действительно работает перед отправкой
• Фокусируйтесь на impact - отдавайте приоритет уязвимостям, которые могут причинить реальный вред, а не теоретическим проблемам

Правовая защита

Security researchers, соблюдающие эту политику, могут рассчитывать на:

• Защиту от юридических действий за добросовестные исследования безопасности, проведенные в рамках этих правил
• Освобождение от claims, связанных с anti-circumvention, когда это необходимо для законного security research
• Отказ от некоторых policy restrictions, которые иначе препятствовали бы security testing
• Признание того, что compliant security research полезен и проводится добросовестно

Вы остаетесь ответственными за соблюдение всех применимых законов. Если третья сторона предпримет против вас юридические действия, пока вы соблюдали эту политику, мы подтвердим, что ваши действия соответствовали нашей программе. Если вы не уверены, соответствуют ли ваши планируемые исследования этой политике, свяжитесь с нами через contact us form до начала работы.

Процесс сообщения

Чтобы сообщить об уязвимости, создайте подробный ticket через нашу contact us form.

• Ваш отчет должен включать подробные шаги для воспроизведения уязвимости. Можно использовать этот шаблон как ориентир: https://github.com/ZephrFish/BugBountyTemplates/blob/master/Example.md
• Все коммуникации по программе должны проходить через нашу официальную Support Ticket Platform
• Public disclosure любой уязвимости без явного письменного разрешения Appbox нарушает условия программы и лишает вас права на вознаграждение

Что происходит после отправки отчета

• Действительные уязвимости: мы подтвердим получение отчета, начнем работу над исправлением и обработаем вознаграждение
• Недействительные отчеты: мы объясним, почему отчет не подходит, и можем дать рекомендации для будущих отправок
• Out-of-scope reports: мы перенаправим вас к соответствующему vendor или объясним, почему проблема не покрывается

Мы ценим качественные исследования и конструктивный вклад в нашу безопасность. Спасибо, что помогаете сохранять Appbox безопасным.