Registriere dich und fange an zu daten! Registriere dich oder logge dich in dein Profil ein und fange an zu daten!
RegistrierenRegistrieren oder einloggen
Support

Programm Love.ru Bug Bounty

Die Teilnahme am Programm

Попытайтесь найти баги в веб-сервисе Love.ru и мобильных приложениях для iOS и Android.

К их числу могут относиться:

  1. Межсайтовый скриптинг (XSS), кроме Self-XSS;
  2. Межсайтовая подделка запросов (CSRF);
  3. Инъекции программного кода и операторов SQL;
  4. Уязвимости в управлении сессией;
- Ознакомьтесь с Принципами ответственного раскрытия
- Используйте Пункт приема багов, чтобы указать на найденную уязвимость
- Примите заслуженное вознаграждение!

Рассматриваются только реальные, а не теоретические уязвимости или результаты автоматических тестов. Участник должен продемонстрировать шаги, приводящие к воспроизведению уязвимости.

К участию в программе не допускаются действующие и бывшие сотрудники компании, их знакомые и родственники.

Размер вознаграждения

Мы разделяем наши сервисы на критические и остальные. К критическим сервисам относятся авторизация пользователя, система хранения личных данных пользователя и системы оплаты услуг.

Критические сервисы:

  1. Инъекции программного кода и операторов SQL – 50 000 р.;
  2. Межсайтовый скриптинг (XSS) – 10 000 р.;
  3. Межсайтовая подделка запросов (CSRF) – 10 000 р.;
  4. Уязвимости в управлении сессией – 5 000р.;

Остальные сервисы:

  1. Инъекции программного кода и операторов SQL – 25 000 р.;
  2. Межсайтовый скриптинг (XSS) – 5 000 р.;
  3. Межсайтовая подделка запросов (CSRF) – 5 000 р.;
  4. Уязвимости в управлении сессией – 2 500р.;
В особых случаях размер выплаты за найденную уязвимость может быть увеличен. Оплата гражданам России производится через систему WebMoney. Обращаем ваше внимание, что вознаграждение получает только первый сообщивший о найденной уязвимости.

Не рассматриваются следующие случаи

  • "Теоретические" уязвимости без демонстрации реального применения на нашем сервисе
  • Уязвимости, требующие физический доступ к устройству пользователя, его email, сети подключения (в т.ч. беспроводной) или требующие jailbrake устройства
  • Отчёты сканеров безопасности или аналогичных инструментов
  • Советы по внедрению “best practices” разработки ПО
  • Сообщения о некорректных почтовых настройках, например SPF records, DMARK policies и других
  • Проверка наличия данных о юзере в нашей базе через формы регистрации, авторизации или восстановления
  • Авторизация в один клик из рассылаемых писем
  • Сообщения об уязвимостях, когда реализация уязвимости требует наличие другой уязвимости без предоставления аналогичных данных о ней
  • Открытые редиректы (кроме случаев, когда вы можете продемонстрировать реальную опасность для наших пользователей на сервисе)
  • Framing, clickjacking, tapjacking
  • Logout CSRF
  • Self-XSS;
  • Уязвимости, которые воспроизводятся только в устаревшем пользовательском ПО и не воспроизводятся в последних версиях
  • Обход Captcha при помощи систем распознавания текста
  • Атаки, основанные на социальной инженерии или фишинге


Принципы ответственного раскрытия

Мы ожидаем следование принципам ответственного раскрытия от исследователей, взявшихся за поиск уязвимостей на сервисе Love.ru. Это означает что лицо, обнаружившее уязвимость и сообщившее о ней посредством формы, обязуется не разглашать информацию об уязвимости третьим лицам в течение времени, которое требуется для ее устранения. Участник программы по поиску уязвимостей не должен в какой-либо форме раскрывать данные, доступ к которым был получен в результате его исследований. К их числу мы относим персональные данные пользователей, а также иные сведения, способные затруднить работу сервиса Love.ru. В процессе исследования данные реальных пользователей сервиса не должны быть скомпрометированы - автор должен использовать свои учётные записи для поиска и демонстрации атаки.
We use cookies and care about your privacy to ensure you have the best experience on our site. Durch die weitere Nutzung der Webseite stimmst du der Verwendung von Cookies zu. Lesen Sie weiter