Ведущий IT-гигант Государства F — интегратор и интернет-провайдер; также предоставляет услуги хостинга.

## Скоуп
Внешний периметр: 10.124.0.64/26
Внутренний периметр: 10.154.2.0/23

NetFusionPro

Хакербург славится своей металлургической промышленностью. Комбинат Metal&Tech производит чугун и высококачественную сталь, которую используют в строительстве и автопроме.

## Скоуп
Внешний периметр: 10.124.0.0/26
Внутренний периметр: 10.154.0.0/23

Metal&Tech

Металлургический комбинат Metal&Tech

Международные киберучения по информационной безопасности. Сильнейшие исследователи проверяют защищенность IT-систем виртуального Государства F.&nbsp;

Standoff 11

# Принимаемые языки:
- Английский
- Русский
 
# Правила вознаграждения:
Типы уязвимостей, подлежащие вознаграждению, указаны в таблице "Размер вознаграждения" в конце правил программы BugBounty.
Суммы вознаграждения указаны в описании только для справки. 
Применимость вознаграждения и его размер могут зависеть от серьезности проблемы, новизны, вероятности использования, окружения и/или других факторов. 
Решение о вознаграждении принимается командой безопасности VK для каждого сообщения индивидуально.
Оплата уязвимостей, не перечисленных в таблице "Размер вознаграждения" присуждается на усмотрение владельца программы.

# Область действия Bug Bounty:

## Домены:

tetrika-school.ru, \*.tetrika-school.ru за исключением делегированных и размещенных на внешнем хостинге доменов и фирменных партнерских сервисов.

## Важно:

Ошибки, выявленные на демостендах и в доменах, используемых для обучения, принимаются как информационные и не оплачиваются. 

Мы принимаем Client Side уязвимости без оплаты. Программа направлена на получение серьезных и критических ошибок.

Публичные уязвимости 0-day/1-day могут считаться дубликатами в течение нескольких недель после публикации информации об уязвимости, если уязвимость известна нашей команде из открытых источников и мы работаем над ее устранением или исправлением.

Отчет, отправленный действующим или бывшим сотрудником (до года с момента увольнения) группы компаний VK, принимается без оплаты.

При тестировании RCE, SQLi, LFI, LFR, SSTI разрешено использовать только МИНИМАЛЬНО возможный POC для доказательства (sleep, чтение /etc/passwd, curl), если вы хотите протестировать возможность повышения прав на сервере - создайте, пожалуйста, отчет и пропишите, что желаете повысить права.

*Запрещена публикация или раскрытие деталей отчетов без согласования с ИБ VK*

# Ограничения области действия Bug Bounty:

## Мы не принимаем и не рассматриваем отчеты с:

- Отчеты сканеров уязвимостей и других автоматизированных инструментов;
- Раскрытие информации, не являющейся конфиденциальной, например, версия продукта;
- Раскрытие публичной информации о пользователе, например, nickname;
- Отчеты, основанные на версии продукта/протокола без демонстрации реального наличия уязвимости;
- Отчеты об отсутствующем механизме защиты / лучшей текущей практике (например, отсутствие CSRF маркера, защита от framing/clickjacking) без демонстрации реального влияния на - безопасность пользователя или системы;
- Сообщения об опубликованных и неопубликованных политиках SPF и DMARC;
- Кроссайтовая подделки запросов, приводящие к выходу из системы (logout CSRF);
- Уязвимости партнерских продуктов или сервисов, если пользователи / учетные записи Mail.Ru или VK.com не затронуты напрямую;
- Безопасность рутированных, jailbreaked или иным образом модифицированных устройств и приложений;
- Возможность обратного инжиниринга приложения или отсутствие бинарной защиты;
- Open redirection принимается только в том случае, если определено влияние на безопасность, например возможность кражи авторизационного токена;
- Ввод неформатированного текста, звука, изображения, видео в ответ сервера вне пользовательского интерфейса (например, в данных JSON или сообщении об ошибке), если это не приводит к подмене пользовательского интерфейса, изменению поведения пользовательского интерфейса или другим негативным последствиям;
- Same Site scripting, reflected download и подобные атаки с сомнительным воздействием;
- Отчеты, связанные с CSP, для доменов без CSP и доменных политик с небезопасными eval и/или небезопасными inline;
- Гомографические атаки IDN;
- XSPA (сканирование IP/портов во внешние сети);
- Инъекция формул Excel CSV;
- Скриптинг в документах PDF;
- Атаки, требующие полного доступа к локальной учетной записи или профилю браузера;
- Атаки со сценариями, где уязвимость в стороннем сайте или приложении требуется как необходимое условие и не демонстрируется;
- Теоретические атаки без доказательства возможности использования;
- Уязвимости отказа в обслуживании (DoS) связанные с отправкой большого количества запросов или данных (флуд)
- Возможность отправки большого количества сообщений;
- Возможность отправки спама или файла вредоносного ПО;
- Раскрытие информации через внешние ссылки, не контролируемые Mail.Ru или VK.com (например, поисковые dork’и к приватным защищенным областям robots.txt);
- Раскрытие неиспользуемых или должным образом ограниченных ключей JS API (например, ключ API для внешнего картографического сервиса);
- Возможность выполнить действие, недоступное через пользовательский интерфейс, без выявленных рисков безопасности;
- Уязвимости, связанные с применением фишинга и других техник социальной инженерии;
- Раскрытие /metrics, /status без показанной угрозы ИБ ( к примеру - раскрытие приватных api методов, токенов);
- Blind SSRF без показанной в отчете угрозы ИБ сервиса ( DNS pingback недостаточно );
- Уязвимости, раскрывающие только учетные записи пользователей, не содержащие пароля или иных персональных данных. 

## Мы рассматриваемые отчеты как информационные, если:
- Разглашается информация о взломанных учетных записях внешних пользователей для сервисов Mail.Ru или VK.com;
- Уязвимость выявлена в сервисе, самостоятельно размещенном пользователем (хостинг студенческих или лабораторных работ для образовательных проектов и т.д.).


# Размер вознаграждения:

| Уязвимости |  Вознаграждение |
| ----------- | ----------- |
| Удаленное исполнение кода (RCE) | 18 000 ₽ |
| Инъекции (SQLi или альтернатива) | 18 000 ₽ | 
| RCE/LFI в Dev. инфраструктуре / изолированном или виртуализированном процессе | 18 000 ₽ | 
| SSRF, не слепые (с возможностью читать текст ответа), кроме выделенных прокси | 18 000 ₽ |
| SSRF, слепые, кроме выделенных прокси | 3 000 ₽ |
| Уязвимость на стороне сервера с раскрытием информации (например утечки памяти / IDORs) критически важных или высоко конфиденциальных данных приложения (например, сессии, учетные записи, пароли, кредитные карты, сообщения электронной почты)  | 0 ₽ -  18 000 ₽ |
| Уязвимость на стороне сервера с раскрытием информации (например, утечки памяти / IDORs) защищенных персональных данных или конфиденциальной информации клиента | 0 ₽ -  18 000 ₽ |
| Уязвимость на стороне сервера с раскрытием информации (например утечки памяти / IDORs) конфиденциальных данных приложения\* или инфраструктуры / повышение привилегий роли в организации | 0 ₽ -  18 000 ₽ |


&nbsp;

*\*подробный вывод ошибок, раскрытие путей локальной установки, вывод phpinfo(), счетчики производительности и т.д. не считаются конфиденциальными, такие сообщения обычно принимаются без вознаграждения. Не принимаются сообщения о раскрытии версий программного обеспечения*

Тетрика

Тетрика — современная онлайн-школа с опытными преподавателями для подготовки по школьным предметам и экзаменам ЕГЭ и ОГЭ. Ключевая особенность сервиса — индивидуальная программа, которая составляется с учетом целей конкретного ученика.

VK — крупнейшая российская технологическая компания. Продуктами и сервисами VK пользуются больше 90% аудитории рунета. Безопасность сервисов VK и защита данных пользователей - ключевые приоритеты для компании. Мы тестируем устойчивость наших продуктов к кибератакам, используя лучшие практики.

**Политика**

* Пожалуйста, предоставляйте подробные отчеты с воспроизводимыми шагами. 
* Отправляйте по одной уязвимости за отчет, если только вам не нужно связывать несколько уязвимостей в цепочку.
* В случае дублирования мы присуждаем награду только за первый полученный отчет (при условии, что его можно полностью воспроизвести).
* Объединяйте в один отчет уязвимости, у которых схожая основная причина (например, уязвимость библиотеки, которая используется на нескольких доменах из скопа).
* Если исправление одной из присланных уязвимостей исправит уязвимость из нового отчета, вознаграждается только первоначальный отчет.
* Максимально старайтесь избежать нарушений конфиденциальности, уничтожения данных, прерывания или ухудшения качества наших услуг. Взаимодействуйте только с вашими учетными записями или с явного разрешения владельца другой учетной записи.
* Не запускайте сканирование, которое может снизить производительность или привести к отказу в обслуживании целевых приложений.
* В случае тестирования службы электронной почты при регистрации указывайте внешнюю электронную почту и включите "bugbounty" в ее имя, чтобы мы знали, что это не настоящий злоумышленник.
* Не открывайте и не вносите изменения в учетные записи клиентов.
* Не проводите атаки социальной инженерии, включая фишинг.
* Не используйте спам.
* Не выполняйте никаких физических атак.
* Запрещено любое боковое перемещение и постэксплуатация после получения первоначального доступа.
* Для уязвимостей нулевого дня мы принимаем отчеты после первых двух недель с первой публикации уязвимости.
* Уязвимости типа RCE, SQL, SSRF вне критичной инфраструктуры будут оцениваться ниже. Из критичной инфраструктуры должен быть доступен хост rm.rambler-co.ru(10.99.2.223), ожидаемый ответ от данного хоста - 302.


**Правила отчета**

Отчет должен быть полноценным и понятным для проверяющего, содержать все необходимые шаги/команды/зависимости для воспроизведения уязвимости. Шаги необходимо расписывать подробно, с указанием того, что именно является уязвимым и как именно эксплуатировать эту уязвимость. Также необходимо приводить подтверждение - скриншоты запросов, результата, или видео с полной реализацией атаки и четкими указаниями каждого шага.
Помимо прочего, нужно описать потенциальные риски, от эксплуатации уязвимости, а также будем признательны, если вы опишите ещё и рекомендации по устранению.
Так как боковое перемещение запрещено для некоторых уязвимостей достаточно следующих демонстраций:
-	SQL Injection – получение версии базы данных;
-	XXE / XML injection – демонстрация факта XXE, кроме DOS;
-	XSS – вывод алерта или сообщения в лог;
-	RCE – hostname, id, ifconfig;
-	SSRF – curl на внутренний домен (rm.rambler-co.ru(10.99.2.223), ожидаемый ответ от данного хоста - 302).


**Таблица выплат**

Наши выплаты основываются на критичности уязвимости по CVSS 3.0, однако в компании мы используем внутреннюю политику по управлению уязвимостями, где градация критичности отличается от CVSS. Таблица с необходимыми диапазонами критичности:
| Уровень критичности | Размер вознаграждения |
| ----------- | ----------- |
| Critical (9.9 - 10.0) | 55 000 - 150 000 рублей |
| High (8.0 - 9.8) | 30 000 – 55 000 рублей |
| Medium (4.0 - 7.9) | 3 000 – 25 000 рублей |
| Low (0.1 - 3.9) | 0 - 3 000 рублей |


**Уязвимости**

Основной упор мы хотим сделать на получении критичных уязвимостей:
- RCE;
- Injections;
- SSRF;
- LFI/RFI;
- XXE.


**LiveJournal**

Принимаются уязвимости на домене:
- www.livejournal.com
, а также уязвимости на доменах из подсети 81.19.74.0/24

Принимаются только серверные уязвимости уровня «Критический» и «Высокий».


**Уязвимости вне программы**
- Clickjacking;
- CSRF на логин/логаут;
- Man in the middle;
- любые методы социальной инженерии;
- Self-XSS;
- любая вредоносная активность, которая может привести к отказу в обслуживании (DoS);
- результаты работы автоматических сканеров без реального POC;
- инъекции http-заголовков без серьезного влияния на безопасность (в том числе CRLF);
- SPF/DKIM/DMARC-мисконфигурации;
- SSL/TLS бест практики;
- атаки, требующие физического доступа к оборудованию компании;
- уязвимости в сторонних библиотеках, напрямую не ведущие к уязвимостям;
- отсутствие любых других бест практик, напрямую не ведущее к уязвимости;
- уязвимости, применимые только к пользователям с устаревшими браузерами;
- устаревшие DNS-записи;
- отсутствие флагов безопасности на некритичных куках;
- утечки информации через заголовок referer;
- утечки информации через /status или /metrics без конкретного влияния на безопасность.

Перечисленные ниже уязвимости мы принимаем как *"Информационные"*, если они не несут за собой прямого или косвенного финансового риска:
- уязвимости Open Redirect, если они не участвуют в цепочке атаки с более серьезным вектором;
- уязвимости, результатом которых является накрутка каких-либо параметров пользователя (рейтинга, реакций, кол-ва подписчиков, репостов и т.д), если это не ведет напрямую к финансовым потерям (накрутка в конкурсе) и за исключением CSRF-атаки.

Rambler&Co

Rambler&Co занимает первое место среди медиахолдингов России по размеру ежемесячной аудитории — свыше 45,2 млн человек (по данным Mediascope, Cross Web, 2023). В него входят «Лента.ру», «Газета.Ru», портал «Рамблер», Championat.com, «Секрет фирмы», Motor.ru, Ferra.ru и ряд других медиаактивов. Благодаря различной тематической принадлежности площадок холдинг покрывает почти весь спектр интересов и потребностей различных аудиторий.

Rambler&Co занимает первое место среди медиахолдингов России по размеру ежемесячной аудитории — свыше 47,7 млн человек (по данным Mediascope, Cross Web, март 2022). В него входит «Лента.ру», «Газета.Ru», портал «Рамблер», «Чемпионат», «Секрет фирмы», Motor.ru, Ferra.ru и ряд других медиаактивов. Благодаря различной тематической принадлежности площадок холдинг покрывает почти весь спектр интересов и потребностей различных аудиторий.

Standoff 365

Смотреть трансляцию митапа

Подать заявку на участие

Подать заявку на доклад