Программа выявления
уязвимости Сбертройки
Если вы нашли уязвимости в безопасности сервисов Сбертройки, сообщите нам об этом.
Мы рассматриваем все легитимные отчеты и делаем все возможное, чтобы максимально быстро устранить уязвимость. Прежде чем сообщать об уязвимости, ознакомьтесь с материалами на этой странице, включая политику раскрытия информации, и уязвимости, о которых не следует сообщать.
Мы рассматриваем все легитимные отчеты и делаем все возможное, чтобы максимально быстро устранить уязвимость. Прежде чем сообщать об уязвимости, ознакомьтесь с материалами на этой странице, включая политику раскрытия информации, и уязвимости, о которых не следует сообщать.
Условия и область действия Программы
В область действия Программы входят следующие домены Сбертройки:
Примечание: Используйте свои собственные тестовые учетные записи для поиска уязвимостей. Не взаимодействуйте с другими учетными записям и без разрешения их владельцев.
- *.sbertroika.ru
Примечание: Используйте свои собственные тестовые учетные записи для поиска уязвимостей. Не взаимодействуйте с другими учетными записям и без разрешения их владельцев.
Квалифицируемые уязвимости
- Удаленное исполнение кода на стороне сервера
- Уязвимости в реализации протоколов аутентификации или авторизации
- Уязвимости бизнес-логики
- CSRF-уязвимости
- XSS-уязвимости
Неквалифицируемые уязвимости
Мы рассматриваем каждый присланный отчет об уязвимости,
в том числе некоторые уязвимости с низким уровнем риска.
в том числе некоторые уязвимости с низким уровнем риска.
- CSRF-уязвимости для некритичных действий (logout и другие)
- Self-XSS без демонстрации реального воздействия на безопасность пользователей или систем
- Фрейминг и clickjacking-уязвимости без документированной серии кликов
- Отсутствие механизма безопасности / несоответствие лучшим практикам без демонстрации реального воздействия
- Атаки, требующие полного доступа к паролям, токенам, профилю браузера или локальной системе
Требования к отчетам об уязвимостях
Предоставляя отчет об уязвимостях, вы соглашаетесь соблюдать политику раскрытия информации Сбертройки. Отчеты принимаются по почте: bugbounty@sbertroika.ru, с темой письма: bugbountySbertroika.
Отчет должен содержать подробное описание обнаруженной уязвимости:
Отчет должен содержать подробное описание обнаруженной уязвимости:
- CSRF-уязвимости для некритичных действий (logout и другие)
- Self-XSS без демонстрации реального воздействия на безопасность пользователей или систем
- Фрейминг и clickjacking-уязвимости без документированной серии кликов
- Отсутствие механизма безопасности / несоответствие лучшим практикам без демонстрации реального воздействия
- Атаки, требующие полного доступа к паролям, токенам, профилю браузера или локальной системе
Политика раскрытия информации
Публичное или частное раскрытие сведений о любой уязвимости, обнаруженной в Сбертройке, разрешено через 30 дней после устранения этой уязвимости и только с согласия Сбертройки. Запрос на раскрытие информации об уязвимости должен быть подан по почте bugbounty@sbertroika.ru.
Примечание: Любая конфиденциальная информация, случайно полученная в ходе поиска уязвимостей или демонстрации, не должна раскрываться. Эта информация включает (но этим не ограничивается): сведения об инфраструктуре, интерфейсах и деталях реализации, внутреннюю документацию, исходный код, данные пользователей и сотрудников. Преднамеренный доступ к этой информации строго запрещен и может быть признан незаконным применимым законодательством.
Примечание: Любая конфиденциальная информация, случайно полученная в ходе поиска уязвимостей или демонстрации, не должна раскрываться. Эта информация включает (но этим не ограничивается): сведения об инфраструктуре, интерфейсах и деталях реализации, внутреннюю документацию, исходный код, данные пользователей и сотрудников. Преднамеренный доступ к этой информации строго запрещен и может быть признан незаконным применимым законодательством.
Оставьте контактные данные