редакции Выбор
Rambler запускает программу поиска уязвимостей на платформе The Standoff 365
22 сентября Rambler&Co запускает публичную программу по поиску уязвимостей — bug bounty. Исследователям предлагается протестировать 10 наиболее важных и популярных сервисов медиахолдинга, среди которых сайты «Ленты.ру», «Газеты.Ru», «Чемпионата», портал «Рамблер», «Рамблер/новости», «Рамблер/почта» и другие. Таким образом холдинг планирует вывести защищенность своих проектов на новый уровень.
Rambler&Co лидирует среди российских медиахолдингов по размеру ежемесячной аудитории — каждый третий посетитель российского сегмента интернета читает издания Rambler&Co. Пользователям необходимо обеспечить постоянный бесперебойный доступ к контенту, а также надежную сохранность и конфиденциальность персональных данных. Это важный шаг в условиях, когда доля атак на российские веб-ресурсы выросла почти в два раза (до 22% в первом квартале 2022 года относительно 13% в предыдущем квартале). При этом медиаиндустрия впервые вошла в пятерку самых атакуемых отраслей.
В этой ситуации программа bug bounty становится стандартом для крупных технологических и медиакомпаний, так как позволяет обеспечить непрерывный анализ защищенности сервисов силами независимых исследователей безопасности, при этом сохраняя высокую экономическую эффективность.
У Rambler&Co уже есть опыт использования подобной программы в закрытом режиме, когда приглашают участвовать ограниченное число исследователей. В этот раз медиахолдинг открывает bug bounty для всех желающих, заявленные суммы вознаграждений в которой варьируются в зависимости от степени критичности уязвимостей и составят от 2 000 до 100 000 рублей.
У компании Positive Technologies большой опыт работы в индустрии кибербезопасности, авторитет в сообществе и одна из сильнейших на рынке экспертиз, что является дополнительной гарантией в привлечении специалистов. На отечественном рынке платформа The Standoff 365 Bug Bounty выглядит наиболее зрелым решением, поэтому от участия в программе мы ожидаем вовлечения большого числа специалистов, сильной экспертизы и, как следствие, дополнительного повышения уровня защищенности наших проектов и сервисов,
Наши исследования демонстрируют растущий интерес киберпреступников к организациям медиаотрасли. Громкие атаки на СМИ в последнее время сигнализируют о том, что отрасли пора пересмотреть свое отношение к кибербезопасности. Ответственные компании, такие как Rambler&Co, осознают растущие риски и важность программ bug bounty. А наша платформа помогает им вовремя обнаруживать и устранять критичные бреши в сервисах — тем самым защищая пользователей,
Платформа The Standoff 365 Bug Bounty для поиска уязвимостей от Positive Technologies была представлена на форуме PHDays в мае 2022 года. Впервые исследователи безопасности на ней могут получать награду не только за обнаружение отдельных рисков, но и за их реализацию. На платформе уже зарегистрировано более 2000 белых хакеров, первыми на ней разместили свои программы bug bounty «Азбука вкуса» и Positive Technologies.
Описание программы
Политика
- Пожалуйста, предоставляйте подробные отчеты с воспроизводимыми шагами.
- Отправляйте по одной уязвимости за отчет, если только вам не нужно связывать несколько уязвимостей в цепочку.
- В случае дублирования мы присуждаем награду только за первый полученный отчет (при условии, что его можно полностью воспроизвести).
- Объединяйте в один отчет уязвимости, у которых схожая основная причина (например, уязвимость библиотеки, которая используется на нескольких доменах из скопа).
- Если исправление одной из присланных уязвимостей исправит уязвимость из нового отчета, вознаграждается только первоначальный отчет.
- Максимально старайтесь избежать нарушений конфиденциальности, уничтожения данных, прерывания или ухудшения качества наших услуг. Взаимодействуйте только с вашими учетными записями или с явного разрешения владельца другой учетной записи.
- Не запускайте сканирование, которое может снизить производительность или привести к отказу в обслуживании целевых приложений.
- В случае тестирования службы электронной почты при регистрации указывайте внешнюю электронную почту и включите «bugbounty» в ее имя, чтобы мы знали, что это не настоящий злоумышленник.
- Не открывайте и не вносите изменения в учетные записи клиентов.
- Не проводите атаки социальной инженерии, включая фишинг.
- Не используйте спам.
- Не выполняйте никаких физических атак.
- Запрещено любое боковое перемещение и постэксплуатация после получения первоначального доступа.
- Для уязвимостей нулевого дня мы принимаем отчеты в течение первых двух недель после публикации уязвимости.
- Уязвимости типа RCE, SQL, SSRF вне критичной инфраструктуры будут оцениваться ниже. Из критичной инфраструктуры должен быть доступен хост load.rambler-co.ru(10.99.2.96).
Правила отчета
Отчет должен содержать все необходимые шаги/команды/зависимости для воспроизведения уязвимости.Так как боковое перемещение запрещено для некоторых уязвимостей достаточно следующих демонстраций:
- SQL Injection — получение версии базы данных;
- XXE / XML injection — демонстрация факта XXE, кроме DOS;
- XSS — вывод алерта или сообщения в лог;
- RCE — hostname, id, ifconfig;
- SSRF — curl на внутренний домен (load.rambler-co.ru(10.99.2.96)).
Таблица выплат
Наши выплаты основываются на критичности уязвимости по CVSS 3.0, однако в компании мы используем внутреннюю политику по управлению уязвимостями, где градация критичности отличается от CVSS. Таблица с необходимыми диапазонами критичности:
Уровень критичностиРазмер вознагражденияCritical (9.9 — 10.0)100 000 рублейHigh (8.0 — 9.8)35 000 — 45 000 рублейMedium (4.0 — 7.9)5 000 — 20 000 рублейLow (0.1 — 3.9)2 000 рублей
Уязвимости
Основной упор мы хотим сделать на получении критичных уязвимостей:
- RCE;
- Injections;
- SSRF;
- LFI/RFI;
- XXE.
Уязвимости вне программы
- Clickjacking;
- CSRF на логин/логаут;
- Man in the middle;
- любые методы социальной инженерии;
- Self-XSS;
- любая вредоносная активность, которая может привести к отказу в обслуживании (DoS);
- результаты работы автоматических сканеров без реального POC;
- инъекции http-заголовков без серьезного влияния на безопасность (в том числе CRLF);
- SPF/DKIM/DMARC-мисконфигурации;
- SSL/TLS бест практики;
- атаки, требующие физического доступа к оборудованию компании;
- уязвимости в сторонних библиотеках, напрямую не ведущие к уязвимостям;
- отсутствие любых других бест практик, напрямую не ведущее к уязвимости;
- уязвимости, применимые только к пользователям с устаревшими браузерами;
- устаревшие DNS-записи;
- отсутствие флагов безопасности на некритичных куках;
- утечки информации через заголовок referer;
- утечки информации через /status или /metrics без конкретного влияния на безопасность.