PoliciesBug Bounty програм

Bug Bounty програм

Наш програм за пријаву безбедносних рањивости и награде

У Appbox-у, безбедност је основни приоритет. Активно подстичемо security researchers да помогну у јачању наше платформе идентификовањем и пријављивањем потенцијалних рањивости. Овај програм описује наш приступ одговорном безбедносном истраживању, начин на који обрађујемо пријаве рањивости и награде које нудимо истраживачима који помажу да побољшамо наш security posture.

Наша обавеза

Када учествујете у нашем bug bounty програму, обећавамо да ћемо:

  • Потврдити пријем и оценити вашу пријаву благовремено
  • Решавати потврђене рањивости са одговарајућом хитношћу
  • Признати и наградити вас за јединствене, раније непријављене рањивости које доводе до безбедносних побољшања

Обухват програма

Овај bug bounty програм односи се на следеће Appbox платформе:

  • Appbox Primary Website [https://www.appbox.co]
  • Appbox Control Panel [https://www.appbox.co/login]
  • Appbox Hosting Infrastructure [username.appboxes.co] - само инфраструктура, не корисничке апликације

Напомена: Иако је наша hosting infrastructure (username.appboxes.co) у обухвату, рањивости у third-party апликацијама које deploy-ују корисници нису. Погледајте искључења у наставку.

Шта се квалификује као важећа рањивост

Да би се квалификовала за наш bug bounty програм, пријава мора испунити СВЕ следеће критеријуме:

1. Демонстрира стварну експлоатацију

  • Укључује working proof of concept који показује да се рањивост може exploit-овати
  • Показује јасан security impact; теоријске рањивости без демонстриране штете не квалификују се
  • Доказује да би нападач заиста могао да компромитује корисничке податке, налоге или интегритет система

2. Утиче на системе у обухвату

  • Рањивост мора постојати у Appbox proprietary code-у или инфраструктури
  • Мора утицати на системе изричито наведене у "Обухват програма" изнад
  • Мора бити репродуктивна у нашим production или staging окружењима

3. Раније није пријављена

  • Рањивост мора бити новооткривена и не сме нам већ бити позната
  • Duplicate reports или варијације познатих проблема не квалификују се

Искључене области и проблеми

Следеће се сматра ван обухвата нашег bug bounty програма:

Third-party системи и интеграције

  • WHMCS Client Area [https://billing.appbox.co] - пријавите WHMCS Security
  • Chatwoot chat widget - пријавите Chatwoot Security
  • Customer-deployed applications [app.username.appboxes.co] - рањивости у third-party апликацијама (WordPress, Nextcloud итд.) хостованим на нашој инфраструктури треба пријавити одговарајућим application vendors
  • Било који други third-party сервиси, plugin-ови или интеграције које користимо
  • IP адресе или домени који нису директно под контролом Appbox-а
  • Legacy или deprecated системи који више нису у активној употреби

Ван обухвата за hosting infrastructure:

  • Рањивости у customer-deployed application code-у (WordPress, Nextcloud итд.)
  • Подразумеване конфигурације third-party апликација
  • Безбедносни проблеми специфични за одређену верзију апликације

Security headers и hardening

  • Недостајући security headers (X-Frame-Options, COOP, COEP, MTA-STS итд.) осим ако демонстрирате стварну експлоатацију која доводи до компромитовања података
  • Недостајући rel="noopener" или rel="noreferrer" атрибути
  • Откривање верзије сервера или цурење информација кроз HTTP headers
  • Cookie атрибути на non-sensitive cookies (analytics, preferences итд.)

Low-impact откривање информација

  • Опширне error messages које не откривају осетљиве податке (passwords, tokens, PII)
  • Откривање путање без демонстрираног path traversal-а или приступа датотекама
  • Идентификација technology stack-а (PHP верзија, framework detection итд.)
  • Генерички application responses или понашање

Design decisions и теоријски проблеми

  • Login CSRF (не омогућава нападачу приступ victim accounts)
  • User enumeration преко timing attacks или differential responses (осим ако је део већег attack chain-а)
  • Clickjacking без демонстриране експлоатације осетљиве функционалности
  • CORS конфигурације на non-sensitive endpoints
  • Недостајући rate limiting осим ако демонстрирате стварну злоупотребу (DoS је и даље искључен)

Предуслови напада

  • Безбедносни проблеми који не утичу на наше подразумеване application configurations
  • Рањивости које захтевају non-standard configurations
  • Рањивости у нашим контејнерима које захтевају custom или modified setups
  • Проблеми који захтевају network-level compromise (MITM, DNS poisoning, ARP spoofing)

Забрањене методе тестирања

  • Timing-based information disclosure attacks
  • Process enumeration techniques
  • Било који облик denial of service или high-volume attacks
  • Social engineering и phishing techniques
  • Automated security scanning који генерише прекомеран саобраћај или оптерећење
  • Тестирање non-functional features или страница (нпр. signup pages које још нису у production-у)

Неважећи типови пријава

  • Пријаве засноване искључиво на automated scanner output-у без ручне валидације
  • Генеричке препоруке без демонстрирања стварних рањивости
  • Best practice предлози без security impact-а
  • Compliance observations (PCI-DSS, GDPR итд.) без демонстрирања exploitability-а

Структура награда

Главни website и control panel

Тип рањивостиPayPal наградаService Credit
XSSEUR 100EUR 200
XSS (CSP Bypass)EUR 200EUR 300
CSRFEUR 300EUR 450
Authentication BypassEUR 500EUR 750
SQL InjectionEUR 1000EUR 1500
Arbitrary code executionEUR 1000EUR 1500
Arbitrary code execution (with privilege escalation)EUR 2000EUR 3000
Persistent code changeEUR 1000EUR 1500

Hosting infrastructure

Тип рањивостиPayPal наградаService Credit
Authentication Bypass (SSH, FTP, VPN, etc.)EUR 500EUR 750
Authentication Bypass for Supported AppsEUR 100EUR 200
Local privilege escalationEUR 500EUR 750

Сарадници који пријаве важеће рањивости биће признати у нашој Security Researchers Hall of Fame као знак наше захвалности.

Захтевани квалитет пријаве

Све пријаве рањивости морају садржати:

  • Јасан опис рањивости - Објасните шта је рањивост и зашто је важна
  • Погођени систем/URL - Наведите тачно где рањивост постоји
  • Корак-по-корак репродукција - Детаљни кораци који нам омогућавају да репродукујемо проблем
  • Working proof of concept - Функционална демонстрација експлоатације (code, screenshots, video)
  • Стварни security impact - Покажите шта би нападач могао да постигне, не теоријске могућности
  • Ваше сопствено тестирање - Ручно валидајте налазе, немојте само проследити scanner output

Пријаве којима недостају ови елементи или се састоје од генеричких безбедносних препорука неће се квалификовати за награде.

Преузимање награде

  • Можете изабрати између две опције награде:
    • Директна PayPal исплата (захтева важећи PayPal налог)
    • Appbox service credits (применљиво на било коју Appbox услугу, непреносиво)

Смернице за учешће

  • Придржавајте се ове политике, наших Terms of Service и свих применљивих закона
  • Пријављујте рањивости одмах након откривања
  • Поштујте приватност корисника и интегритет система током истраживања
  • Све пријаве рањивости подносите искључиво преко наше contact us form
  • Одржавајте поверљивост откривених рањивости док се не реше
  • Ограничите тестирање на системе изричито укључене у овај програм
  • Ако стекнете неочекивани приступ осетљивим подацима: приступите само минималној количини потребној да демонстрирате проблем, одмах прекините тестирање и благовремено пријавите рањивост
  • Користите само сопствене test accounts за било какву интеракцију са нашим системима
  • Никада не покушавајте да изнуђујете Appbox на основу својих налаза
  • Верификујте своје налазе - Тестирајте да ваш proof of concept заиста ради пре подношења
  • Фокусирајте се на impact - Дајте приоритет рањивостима које могу изазвати стварну штету у односу на теоријске проблеме

Правна заштита

Security researchers који се придржавају ове политике могу очекивати:

  • Заштиту од правних поступака за good-faith security research спроведен у оквиру ових смерница
  • Изузеће од anti-circumvention правних захтева када је потребно за легитимно безбедносно истраживање
  • Одрицање од одређених ограничења политике која би иначе спречавала security testing
  • Признање да је усклађено безбедносно истраживање корисно и спроведено у доброј вери

Остајете одговорни за поштовање свих применљивих закона. Ако се суочите са правним поступком треће стране док се придржавате ове политике, потврдићемо да су ваше радње спроведене у складу са нашим програмом. Ако нисте сигурни да ли су ваше планиране истраживачке активности у складу са овом политиком, контактирајте нас преко contact us form пре него што наставите.

Процес пријављивања

Да пријавите рањивост, креирајте детаљан тикет преко наше contact us form.

  • Ваша пријава треба да укључи свеобухватне кораке за репродукцију рањивости. Овај template можете користити као водич: https://github.com/ZephrFish/BugBountyTemplates/blob/master/Example.md
  • Сва комуникација у оквиру програма мора ићи преко наше званичне Support Ticket Platform
  • Јавно откривање било које рањивости без изричите писане дозволе Appbox-а крши услове овог програма и дисквалификоваће вас од примања награде

Шта се дешава након пријаве

  • Важеће рањивости: Потврдићемо вашу пријаву, радити на исправци и обрадити вашу награду
  • Неважеће пријаве: Објаснићемо зашто се пријава не квалификује и можемо пружити смернице за будуће подношење
  • Пријаве ван обухвата: Упутићемо вас одговарајућем vendor-у или објаснити зашто проблем није покривен

Ценимо квалитетно истраживање и конструктивне доприносе нашој безбедности. Хвала вам што помажете да Appbox остане безбедан.