Serpstat White Hat Bounty Program
Спасибо, что обратили внимание на нашу программу вознаграждения за найденные уязвимости.
Мы ценим вашу помощь в обеспечении безопасности данных наших пользователей и вознаграждаем экспертов, которые сообщают об уязвимостях в сервисе.
Если вы считаете, что обнаружили такую уязвимость, просим вас сформировать отчет согласно требованиям, описанным ниже. Прежде чем сообщать о проблеме, ознакомьтесь с политикой ответственного раскрытия информации, правилами получения вознаграждения, а также убедитесь, что обнаруженная проблема не входит в перечень ошибок, о которых не следует сообщать.
Мы рассмотрим ваш отчет и сделаем все возможное, чтобы быстро устранить проблему.
Политика ответственного раскрытия информации
При составлении отчета придерживайтесь следующих рекомендаций, чтобы избежать инициирование судебных исков против вас и привлечения правоохранительных органов для расследования:
Условия программы вознаграждения за найденные уязвимости
Придерживайтесь политики ответственного раскрытия информации (см. выше).
Опишите уязвимость в нашем сервисе или инфраструктуре, которая подвергает риску безопасность или конфиденциальность информации в отчете.
Помните, что степень риска определяется Serpstat и многие ошибки в программном обеспечении не создают уязвимостей в системе безопасности. Ознакомьтесь со списком ошибок, о которых не следует сообщать.
Отчеты о проблемах и их содержание
Ваш отчет должен содержать:
- Подробное описание проблемы.
- Условия и пример воспроизведения и/или эксплуатации максимально доступным способом, включая скриншоты если это необходимо.
- Список использованных инструментов (например, сканер безопасности, версия, браузер).
Мы намеренно исключили некоторые типы потенциальных проблем безопасности.
См. раздел "Область действия программы" ниже.
Если в ходе исследования проблемы вы непреднамеренно допустили нарушение конфиденциальности данных или работы других людей (например, получили доступ к данным аккаунта, конфигурациям сервиса или другой конфиденциальной информации), вы обязаны указать это в своем отчете.
При исследовании проблем используйте тестовые аккаунты. Если у вас не получается воспроизвести проблему с помощью тестового аккаунта, используйте реальный (но не для автоматизированного тестирования). Не взаимодействуйте с другими аккаунтами без согласия их владельцев.
Пожалуйста, отправьте свой отчет на support@serpstat.com
В свою очередь, при оценке ваших отчетов мы будем придерживаться следующих правил:
Сумма вознаграждения
Максимальная сумма вознаграждения составляет 100 долларов США или оплаченная подписка на сервисы Serpstat на эквивалентную сумму.
За выявление проблем с очень низким уровнем риска вознаграждение может не предоставляться вовсе.
Одно вознаграждение выплачивается только одному человеку.
Мы выплачиваем вознаграждение только в том случае, если это не противоречит действующим законам.
Область действия программы вознаграждений за найденные ошибки
Запрещается производить какие-либо манипуляции с любым запросом, отправляемым на сайт с вашего устройства, или иным образом вмешиваться в нормальную работу сайта в связи с подачей вашего отчета. (Например, SQLi, XSS, открытые переходы и уязвимости, связанные с обходом разрешения (такие как IDOR) полностью исключаются из программы.) Кроме того, вы не имеете права осуществлять доступ к данным или использовать любой токен доступа какого-либо аккаунта Serpstat, кроме вашего собственного.
Проблемы, на которые программа вознаграждения не распространяется
- Спам и техники социальной инженерии.
- Атаки по типу "отказ в обслуживании".
- Программа не распространяется на уязвимости системы безопасности в сторонних приложениях и сервисах, интегрированных с Serpstat.
- Ошибочные результаты.