Програма винагород за вразливості

В Appbox безпека є фундаментальним пріоритетом. Ми активно заохочуємо дослідників безпеки допомагати зміцнювати нашу платформу, виявляючи й повідомляючи про потенційні вразливості. Ця програма визначає наш підхід до відповідальних досліджень безпеки, те, як ми обробляємо повідомлення про вразливості, і винагороди, які пропонуємо дослідникам, що допомагають покращувати наш стан безпеки.

Наші зобов'язання

Коли ви берете участь у нашій програмі винагород за вразливості, ми обіцяємо:

• Своєчасно підтвердити отримання та оцінити ваше повідомлення
• Усувати підтверджені вразливості з належною терміновістю
• Визнати й винагородити вас за унікальні, раніше не повідомлені вразливості, що призводять до покращень безпеки

Охоплення програми

Ця програма винагород за вразливості застосовується до таких платформ Appbox:

• Appbox Primary Website [https://www.appbox.co]
• Appbox Control Panel [https://www.appbox.co/login]
• Appbox Hosting Infrastructure [username.appboxes.co] - лише інфраструктура, не клієнтські застосунки

Примітка: Хоча наша хостингова інфраструктура (username.appboxes.co) входить до охоплення, вразливості в сторонніх застосунках, розгорнутих клієнтами, не входять. Див. винятки нижче.

Що вважається дійсною вразливістю

Щоб подання відповідало вимогам нашої програми винагород за вразливості, воно має відповідати ВСІМ таким критеріям:

1. Демонструвати фактичну експлуатацію

• Містити робочий proof of concept, який демонструє, що вразливість можна експлуатувати
• Показувати чіткий вплив на безпеку; теоретичні вразливості без продемонстрованої шкоди не відповідають вимогам
• Доводити, що зловмисник справді міг би скомпрометувати дані користувачів, облікові записи або цілісність системи

2. Впливати на системи в межах охоплення

• Вразливість має існувати у власному коді або інфраструктурі Appbox
• Має впливати на системи, явно перелічені в розділі "Program Coverage" вище
• Має бути відтворюваною в наших production або staging environments

3. Бути раніше не повідомленою

• Вразливість має бути нововиявленою і не відомою нам раніше
• Дублікати повідомлень або варіації відомих проблем не відповідають вимогам

Виключені сфери та проблеми

Наведене нижче вважається поза охопленням нашої програми винагород за вразливості:

Сторонні системи та інтеграції

• WHMCS Client Area [https://billing.appbox.co] - повідомляйте до WHMCS Security
• Chatwoot chat widget - повідомляйте до Chatwoot Security
• Застосунки, розгорнуті клієнтами [app.username.appboxes.co] - про вразливості в сторонніх застосунках (WordPress, Nextcloud тощо), розміщених на нашій інфраструктурі, слід повідомляти відповідним постачальникам застосунків
• Будь-які інші сторонні сервіси, плагіни або інтеграції, які ми використовуємо
• IP-адреси або домени, які не контролюються безпосередньо Appbox
• Застарілі або виведені з експлуатації системи, які більше не використовуються активно

Поза охопленням для хостингової інфраструктури:

• Вразливості в коді застосунків, розгорнутих клієнтами (WordPress, Nextcloud тощо)
• Стандартні конфігурації сторонніх застосунків
• Проблеми безпеки, специфічні для певної версії застосунку

Заголовки безпеки та посилення захисту

• Відсутні заголовки безпеки (X-Frame-Options, COOP, COEP, MTA-STS тощо) якщо тільки ви не демонструєте фактичну експлуатацію, що призводить до компрометації даних
• Відсутні атрибути rel="noopener" або rel="noreferrer"
• Розкриття версії сервера або витік інформації через HTTP-заголовки
• Атрибути cookie для нечутливих cookie (аналітика, налаштування тощо)

Розкриття інформації з низьким впливом

• Детальні повідомлення про помилки, які не розкривають чутливі дані (паролі, токени, PII)
• Розкриття шляхів без продемонстрованого path traversal або доступу до файлів
• Визначення технологічного стеку (версія PHP, виявлення фреймворку тощо)
• Типові відповіді або поведінка застосунку

Дизайнерські рішення та теоретичні проблеми

• Login CSRF (не надає зловмиснику доступу до облікових записів жертв)
• Перелічення користувачів через timing attacks або різні відповіді (якщо це не частина більшого ланцюга атаки)
• Clickjacking без продемонстрованої експлуатації чутливої функціональності
• Конфігурації CORS на нечутливих endpoints
• Відсутність rate limiting якщо тільки ви не демонструєте фактичне зловживання (DoS усе одно виключено)

Передумови атаки

• Проблеми безпеки, які не впливають на наші стандартні конфігурації застосунків
• Вразливості, що потребують нестандартних конфігурацій
• Вразливості в наших контейнерах, що потребують користувацьких або змінених налаштувань
• Проблеми, які потребують компрометації на рівні мережі (MITM, DNS poisoning, ARP spoofing)

Заборонені методи тестування

• Атаки розкриття інформації на основі часу
• Техніки перелічення процесів
• Будь-яка форма відмови в обслуговуванні або високонавантажувальних атак
• Соціальна інженерія і фішингові техніки
• Автоматизоване сканування безпеки, що створює надмірний трафік або навантаження
• Тестування нефункціональних функцій або сторінок (наприклад, сторінок реєстрації, які ще не перебувають у production)

Недійсні типи повідомлень

• Повідомлення, засновані виключно на результатах автоматизованого сканера без ручної перевірки
• Загальні рекомендації без демонстрації фактичних вразливостей
• Пропозиції найкращих практик без впливу на безпеку
• Зауваження щодо відповідності (PCI-DSS, GDPR тощо) без демонстрації можливості експлуатації

Структура винагород

Основний сайт і панель керування

Хостингова інфраструктура

Учасники, які повідомляють про дійсні вразливості, будуть відзначені в нашому Security Researchers Hall of Fame як знак нашої вдячності.

Необхідна якість повідомлення

Усі повідомлення про вразливості мають містити:

• Чіткий опис вразливості - поясніть, що це за вразливість і чому вона важлива
• Уражена система/URL - точно вкажіть, де існує вразливість
• Покрокове відтворення - детальні кроки, які дозволяють нам відтворити проблему
• Робочий proof of concept - функціональна демонстрація експлуатації (код, скриншоти, відео)
• Фактичний вплив на безпеку - продемонструйте, чого зловмисник міг би досягти, а не теоретичні можливості
• Власне тестування - перевіряйте знахідки вручну, а не просто пересилайте результат сканера

Повідомлення, яким бракує цих елементів або які складаються із загальних рекомендацій із безпеки, не відповідатимуть вимогам для винагород.

Отримання винагороди

• Ви можете вибрати між двома варіантами винагороди:
  • Прямий платіж PayPal (потрібен дійсний обліковий запис PayPal)
  • Сервісні кредити Appbox (застосовні до будь-якої послуги Appbox, не підлягають передачі)

Правила участі

• Дотримуйтеся цієї політики, наших Умов надання послуг і всіх застосовних законів
• Повідомляйте про вразливості невідкладно після виявлення
• Поважайте конфіденційність користувачів і цілісність систем під час дослідження
• Надсилайте всі повідомлення про вразливості виключно через нашу форму зв'язку
• Зберігайте конфіденційність щодо виявлених вразливостей до їх вирішення
• Обмежуйте тестування системами, явно включеними до цієї програми
• Якщо ви отримали неочікуваний доступ до чутливих даних: отримайте доступ лише до мінімального обсягу, необхідного для демонстрації проблеми, негайно припиніть тестування та невідкладно повідомте про вразливість
• Використовуйте лише власні тестові облікові записи для будь-якої взаємодії з нашими системами
• Ніколи не намагайтеся вимагати щось у Appbox на підставі своїх знахідок
• Перевіряйте свої знахідки - перевірте, що ваш proof of concept справді працює, перш ніж надсилати повідомлення
• Зосереджуйтеся на впливі - надавайте пріоритет вразливостям, які можуть завдати реальної шкоди, а не теоретичним проблемам

Правовий захист

Дослідники безпеки, які дотримуються цієї політики, можуть очікувати:

• Захист від правових дій за добросовісні дослідження безпеки, проведені в межах цих правил
• Звільнення від правових претензій щодо обходу технічних засобів, коли це необхідно для законних досліджень безпеки
• Відмову від застосування певних політичних обмежень, які інакше перешкоджали б тестуванню безпеки
• Визнання того, що дослідження безпеки, які відповідають правилам, є корисними та здійснюються добросовісно

Ви залишаєтеся відповідальними за дотримання всіх застосовних законів. Якщо проти вас буде вчинено правову дію третьою стороною під час дотримання цієї політики, ми підтвердимо, що ваші дії були проведені відповідно до нашої програми. Якщо ви не впевнені, чи відповідає запланована дослідницька діяльність цій політиці, будь ласка, зв'яжіться з нами через форму зв'язку, перш ніж продовжувати.

Процес повідомлення

Щоб повідомити про вразливість, створіть детальний тікет через нашу форму зв'язку.

• Ваше повідомлення має містити докладні кроки для відтворення вразливості. Ви можете використовувати цей шаблон як орієнтир: https://github.com/ZephrFish/BugBountyTemplates/blob/master/Example.md
• Уся комунікація щодо програми має проходити через нашу офіційну Support Ticket Platform
• Публічне розкриття будь-якої вразливості без явного письмового дозволу Appbox порушує умови цієї програми та позбавляє вас права на винагороду

Що відбувається після повідомлення

• Дійсні вразливості: ми підтвердимо отримання вашого повідомлення, працюватимемо над виправленням і обробимо вашу винагороду
• Недійсні повідомлення: ми пояснимо, чому повідомлення не відповідає вимогам, і можемо надати рекомендації для майбутніх подань
• Повідомлення поза охопленням: ми спрямуємо вас до відповідного постачальника або пояснимо, чому проблема не охоплюється

Ми цінуємо якісні дослідження та конструктивний внесок у нашу безпеку. Дякуємо, що допомагаєте зберігати Appbox безпечним.