Rambler запускает программу поиска уязвимостей на платформе The Standoff 365

22 сентября Rambler&Co запускает публичную программу по поиску уязвимостей — bug bounty. Исследователям предлагается протестировать 10 наиболее важных и популярных сервисов медиахолдинга, среди которых сайты «Ленты.ру», «Газеты.Ru», «Чемпионата», портал «Рамблер», «Рамблер/новости», «Рамблер/почта» и другие. Таким образом холдинг планирует вывести защищенность своих проектов на новый уровень.

Rambler&Co лидирует среди российских медиахолдингов по размеру ежемесячной аудитории — каждый третий посетитель российского сегмента интернета читает издания Rambler&Co. Пользователям необходимо обеспечить постоянный бесперебойный доступ к контенту, а также надежную сохранность и конфиденциальность персональных данных. Это важный шаг в условиях, когда доля атак на российские веб-ресурсы выросла почти в два раза (до 22% в первом квартале 2022 года относительно 13% в предыдущем квартале). При этом медиаиндустрия впервые вошла в пятерку самых атакуемых отраслей.

В этой ситуации программа bug bounty становится стандартом для крупных технологических и медиакомпаний, так как позволяет обеспечить непрерывный анализ защищенности сервисов силами независимых исследователей безопасности, при этом сохраняя высокую экономическую эффективность.

У Rambler&Co уже есть опыт использования подобной программы в закрытом режиме, когда приглашают участвовать ограниченное число исследователей. В этот раз медиахолдинг открывает bug bounty для всех желающих, заявленные суммы вознаграждений в которой варьируются в зависимости от степени критичности уязвимостей и составят от 2 000 до 100 000 рублей.

Платформа The Standoff 365 Bug Bounty для поиска уязвимостей от Positive Technologies была представлена на форуме PHDays в мае 2022 года. Впервые исследователи безопасности на ней могут получать награду не только за обнаружение отдельных рисков, но и за их реализацию. На платформе уже зарегистрировано более 2000 белых хакеров, первыми на ней разместили свои программы bug bounty «Азбука вкуса» и Positive Technologies.

Описание программы

Политика

1. Пожалуйста, предоставляйте подробные отчеты с воспроизводимыми шагами.
2. Отправляйте по одной уязвимости за отчет, если только вам не нужно связывать несколько уязвимостей в цепочку.
3. В случае дублирования мы присуждаем награду только за первый полученный отчет (при условии, что его можно полностью воспроизвести).
4. Объединяйте в один отчет уязвимости, у которых схожая основная причина (например, уязвимость библиотеки, которая используется на нескольких доменах из скопа).
5. Если исправление одной из присланных уязвимостей исправит уязвимость из нового отчета, вознаграждается только первоначальный отчет.
6. Максимально старайтесь избежать нарушений конфиденциальности, уничтожения данных, прерывания или ухудшения качества наших услуг. Взаимодействуйте только с вашими учетными записями или с явного разрешения владельца другой учетной записи.
7. Не запускайте сканирование, которое может снизить производительность или привести к отказу в обслуживании целевых приложений.
8. В случае тестирования службы электронной почты при регистрации указывайте внешнюю электронную почту и включите «bugbounty» в ее имя, чтобы мы знали, что это не настоящий злоумышленник.
9. Не открывайте и не вносите изменения в учетные записи клиентов.
10. Не проводите атаки социальной инженерии, включая фишинг.
11. Не используйте спам.
12. Не выполняйте никаких физических атак.
13. Запрещено любое боковое перемещение и постэксплуатация после получения первоначального доступа.
14. Для уязвимостей нулевого дня мы принимаем отчеты в течение первых двух недель после публикации уязвимости.
15. Уязвимости типа RCE, SQL, SSRF вне критичной инфраструктуры будут оцениваться ниже. Из критичной инфраструктуры должен быть доступен хост load.rambler-co.ru(10.99.2.96).

Правила отчета

Отчет должен содержать все необходимые шаги/команды/зависимости для воспроизведения уязвимости.Так как боковое перемещение запрещено для некоторых уязвимостей достаточно следующих демонстраций:

1. SQL Injection — получение версии базы данных;
2. XXE / XML injection — демонстрация факта XXE, кроме DOS;
3. XSS — вывод алерта или сообщения в лог;
4. RCE — hostname, id, ifconfig;
5. SSRF — curl на внутренний домен (load.rambler-co.ru(10.99.2.96)).

Таблица выплат

Наши выплаты основываются на критичности уязвимости по CVSS 3.0, однако в компании мы используем внутреннюю политику по управлению уязвимостями, где градация критичности отличается от CVSS. Таблица с необходимыми диапазонами критичности:

Уровень критичностиРазмер вознагражденияCritical (9.9 — 10.0)100 000 рублейHigh (8.0 — 9.8)35 000 — 45 000 рублейMedium (4.0 — 7.9)5 000 — 20 000 рублейLow (0.1 — 3.9)2 000 рублей

Уязвимости

Основной упор мы хотим сделать на получении критичных уязвимостей:

1. RCE;
2. Injections;
3. SSRF;
4. LFI/RFI;
5. XXE.

Уязвимости вне программы

1. Clickjacking;
2. CSRF на логин/логаут;
3. Man in the middle;
4. любые методы социальной инженерии;
5. Self-XSS;
6. любая вредоносная активность, которая может привести к отказу в обслуживании (DoS);
7. результаты работы автоматических сканеров без реального POC;
8. инъекции http-заголовков без серьезного влияния на безопасность (в том числе CRLF);
9. SPF/DKIM/DMARC-мисконфигурации;
10. SSL/TLS бест практики;
11. атаки, требующие физического доступа к оборудованию компании;
12. уязвимости в сторонних библиотеках, напрямую не ведущие к уязвимостям;
13. отсутствие любых других бест практик, напрямую не ведущее к уязвимости;
14. уязвимости, применимые только к пользователям с устаревшими браузерами;
15. устаревшие DNS-записи;
16. отсутствие флагов безопасности на некритичных куках;
17. утечки информации через заголовок referer;
18. утечки информации через /status или /metrics без конкретного влияния на безопасность.