558
С 17 .03.2020 Mail.Ru">Mail.Ru Group увеличила сумму вознаграждений в багбаунти программе для ICQ на HackerOne (платформа для поиска уязвимостей).
Сфера применения поиска уязвимостей в ICQ включает в себя:
Веб-клиент ICQ
Веб-портал ICQ: icq.com, *.icq.com, icq.im, agent.Mail.Ru">Mail.Ru
Sandbox ICQ API: *.icq.net (ICQ API полагается на токены, а не на куки и базовую аутентификацию и, как правило, устойчив к атакам crossite).
Приложение ICQ (мобильное): ICQ для Android, ICQ для IOS. Отчеты для Mail.Ru">Mail.Ru Агент принимается только в том случае, если отчет относится к данной фирменной версии.
Приложение ICQ (desktop): ICQ для Mac, ICQ для Windows, Исходный код (исходный код не публикуется с каждой версией ICQ и может содержать уязвимости, уже исправленные в версии, распространяемой через сайт ICQ. Принимаются только отчеты об уязвимостях в последней версии, распространяемые через сайт ICQ). Отчеты для Mail.Ru">Mail.Ru Агент принимается только в том случае, если отчет относится к данной фирменной версии.
Суммы вознаграждений:
Удаленное выполнение кода (RCE) - $8000
Injections (SQLi или аналогичные атаки на БД) - $5000
Доступ к локальным файлам и управление ими (LFR, RFI, XXE) без jail/chroot/file type restrictions - $5000
RCE в автономном изолированном/виртуализированном одноцелевом процессе (например, конвертирование изображений) - $3500
SSRF (не Blind SSRF), кроме выделенных прокси - $3500
Blind SSRF, кроме выделенных прокси - $1000
Раскрытие информации (например, утечки памяти / IDORs) с применением критических или очень конфиденциальных данных (например, сеансы, учетные записи, пароли, кредитные карты) - $4000
Раскрытие информации (например, утечки памяти / IDORs) с защищенными персональными данными или конфиденциальной информацией клиента - $2000
Раскрытие информации (например, утечки памяти / IDORs) с конфиденциальными данными приложений или инфраструктуры* - $100 - $2000
Обход способов и протоколов аутентификации - $2500
Blind XSS уязвимости в интерфейсе админа / поддержки - $1500
Межсайтовый скриптинг (XSS) - $1000 / $0 / $250 ***
Межсайтовая подделка запроса (CSRF, кроссдоменные запросы с помощью Flash ) - $150 - $1000 / $0 / $0 - $250 ***
Атака с использованием компрометации локальных учётных данных в мобильном приложении или полный доступ к данным - $1000
Удаленная DoS атака мобильного или настольного приложения (устойчивая / не устойчивая) - $300 / $150
* Подробные выходные данные ошибок, раскрытие локального пути установки, вывод phpinfo () и т. д. не считаются чувствительными, такие отчеты обычно принимаются без вознаграждения. Отчеты о раскрытии версий программного обеспечения не принимаются.
self-XSS, XSS, специфичные для не распространенных браузеров (например, IE), заблокированные CSP и другими векторами без проверенного выполнения скрипта, обычно принимаются без вознаграждения. XSS для заброшенных поддмоменов рассматривается при той же степени серьезности/условий, что и для родительский домена.
*** баунти для ICQ Web Client / ICQ Web API Sandbox / ICQ Web Portal
https://hackerone.com/icq
https://hackerone.com/mailru/updates