ru Поддержка в Telegram Сервис работает круглосуточно

Bug Bounty Bug Bounty Bug Bounty

Найдите уязвимость на сервисе AvanChange и получите награду. Благодарны всем, кто обнаруживает ошибки и вместе с нами делает AvanChange более надёжным.

Сообщить об уязвимости Пример отчета

🐞 Что такое баг-баунти?

Баг-баунти (от англ. bug bounty) — открытый конкурс по поиску уязвимостей в продукте. Есть несколько подходов к тестированию сервисов. Стандартный — когда тестировщики из команды сами проверяют сервис до её выхода. А также, второй, необычный — баг-баунти. Это конкурс, где хакерам и программистам предлагают найти баги и уязвимости в сервисе за вознаграждение. Работает это примерно так:

  1. Компания анонсирует конкурс, для поиска проблем и уязвимостей в своем проекте.
  2. Объявляет примерные диапазоны цен за разные уровни уязвимостей и багов;
  3. Тестировщики, программисты и белые хакеры занимаются поиском проблем в продукте и отправляют их в компанию;
  4. Компания награждает за успешно найденные уязвимости, баги и проблемы в своем программном обеспечении;

👨‍💻 Зачем это нам?

Баг-баунти для нас — это возможность сделать свои продукты еще лучше и показать, что наши сервисы надежны. Ежедневно наш проект расширяется и масштабируется, что требует постоянной отладки и отслеживания всех процессов. К нам часто обращаются наши пользователи, которые связаны с IT сферой и на добровольной основе подсказывают о тех или иных багах. Систематизируя данные процессы, мы сможем вознаграждать каждого, кто поможет нам стать лучше.

🏆 Вознаграждения

Обозначить жесткие границы и цены вознаграждения – достаточно сложно, так как уязвимости и баги могут быть совершенно разного характера и нести разной тяжести вред для сервиса. Однако, мы постарались разработать некую шкалу, которая позволит вам примерно оценивать ваши трудозатраты по их значимости.

Уязвимость Вознаграждение
Remote code execution (RCE) 2,000 – 5,000 USDT
Инъекции 500 – 2,000 USDT
IDORs / Раскрытие информации с защищенными личными данными 200 – 1,500 USDT
Cross-Site Scripting (XSS) исключая self-XSS и домен *.avanchange.com 150 – 1,000 USDT
Разные способы фрода 100 – 300 USDT
Мелкие баги 5 – 100 USDT
Другие подтвержденные уязвимости Зависит от критичности

В случае с фродом вознаграждение зависит от возможности масштабирования конкретного способа такого мошенничества, простоты его использования и степени причиняемого ущерба. Решение об уровне критичности принимается совместно с нашими разработчиками. На это может уйти некоторое время, в среднем до 2-4 недель.

🚫 Исключения

AvanChange не выплачивает вознаграждение за:

  • фрод, который требует массовых и одновременных действий большого количества пользователей;
  • медленный перебор с использованием множества учётных записей не входят в рамки конкурса;
  • социальную инженерию сотрудников AvanChange;
  • раскрытие публичной пользовательской информации;
  • проблемы и уязвимости, которые основаны на версии используемого продукта, без демонстрации эксплуатации;
  • сообщения об ошибках нулевого дня в TLS
  • отчеты о небезопасных шифрах SSL/TLS без демонстрации эксплуатации;
  • отсутствие SSL и других BCP (best current practice);
  • проблемы отсутствия механизмов безопасности без демонстрации эксплуатации, которая может затронуть данные пользователей. Например, отсутствие CSRF-токенов, Clickjacking и т. д.;
  • Reflected download, same site scripting и другие атаки с сомнительным влиянием на безопасность сервиса;
  • отсутствие CSP-политик на домене или небезопасная конфигурация CSP;
  • XSS и CSRF, которые требуют дополнительных действий от пользователя. Вознаграждение выплачивается, только если они затрагивают чувствительные данные пользователя и срабатывают сразу при переходе на специально сформированную страницу, не требуя от пользователя дополнительных действий;
  • XSS, которая требует внедрения или подделки какого-либо заголовка, например, Host, User-Agent, Referer, Cookie и т. д.
  • Content spoofing, content injection или text injection без доказанного влияния на безопасность;
  • наличие или отсутствие записей SPF и DKIM;
  • атаки, требующие физического доступа к устройству пользователя;

🏁 Хочу участвовать — с чего начать?

У нас нет жестких требований к участникам баг-баунти. Любой желающий может попробовать свои силы и получить за это вознаграждение! При выявлении уязвимостей, просим составить отчетный документ, где будут описаны сами уязвимости и методы их эксплуатации. Документ с отчетом можете направить в Telegram технической поддержки @avan_support.

  • Ethereum
  • Bitcoin
  • XRP
  • Binance Coin
  • Tether
  • Litecoin
  • Stellar
  • Dash
  • Doge
  • Tron
  • YooMoney
  • QIWI
  • Tinkoff
  • Sberbank
  • Alfa Bank
  • MasterCard
  • VISA
  • ADVCash
  • Payeer
  • PerfectMoney