Kayıt ol ve tanışmaya başla! Kayıt olun veya profilinize giriş yapın ve tanışmaya başlayın!
Kayıt olKayıt ol ve oturum aç
Destek Servisi

The program Love.ru Bug Bounty

Participation in the program

Попытайтесь найти баги в веб-сервисе Love.ru и мобильных приложениях для iOS и Android.

К их числу могут относиться:

  1. Межсайтовый скриптинг (XSS), кроме Self-XSS;
  2. Межсайтовая подделка запросов (CSRF);
  3. Инъекции программного кода и операторов SQL;
  4. Уязвимости в управлении сессией;
- Ознакомьтесь с Принципами ответственного раскрытия
- Используйте Пункт приема багов, чтобы указать на найденную уязвимость
- Примите заслуженное вознаграждение!

Рассматриваются только реальные, а не теоретические уязвимости или результаты автоматических тестов. Участник должен продемонстрировать шаги, приводящие к воспроизведению уязвимости.

К участию в программе не допускаются действующие и бывшие сотрудники компании, их знакомые и родственники.

Размер вознаграждения

Мы разделяем наши сервисы на критические и остальные. К критическим сервисам относятся авторизация пользователя, система хранения личных данных пользователя и системы оплаты услуг.

Критические сервисы:

  1. Инъекции программного кода и операторов SQL – 50 000 р.;
  2. Межсайтовый скриптинг (XSS) – 10 000 р.;
  3. Межсайтовая подделка запросов (CSRF) – 10 000 р.;
  4. Уязвимости в управлении сессией – 5 000р.;

Остальные сервисы:

  1. Инъекции программного кода и операторов SQL – 25 000 р.;
  2. Межсайтовый скриптинг (XSS) – 5 000 р.;
  3. Межсайтовая подделка запросов (CSRF) – 5 000 р.;
  4. Уязвимости в управлении сессией – 2 500р.;
В особых случаях размер выплаты за найденную уязвимость может быть увеличен. Оплата гражданам России производится через систему WebMoney. Обращаем ваше внимание, что вознаграждение получает только первый сообщивший о найденной уязвимости.

Не рассматриваются следующие случаи

  • "Теоретические" уязвимости без демонстрации реального применения на нашем сервисе
  • Уязвимости, требующие физический доступ к устройству пользователя, его email, сети подключения (в т.ч. беспроводной) или требующие jailbrake устройства
  • Отчёты сканеров безопасности или аналогичных инструментов
  • Советы по внедрению “best practices” разработки ПО
  • Сообщения о некорректных почтовых настройках, например SPF records, DMARK policies и других
  • Проверка наличия данных о юзере в нашей базе через формы регистрации, авторизации или восстановления
  • Авторизация в один клик из рассылаемых писем
  • Сообщения об уязвимостях, когда реализация уязвимости требует наличие другой уязвимости без предоставления аналогичных данных о ней
  • Открытые редиректы (кроме случаев, когда вы можете продемонстрировать реальную опасность для наших пользователей на сервисе)
  • Framing, clickjacking, tapjacking
  • Logout CSRF
  • Self-XSS;
  • Уязвимости, которые воспроизводятся только в устаревшем пользовательском ПО и не воспроизводятся в последних версиях
  • Обход Captcha при помощи систем распознавания текста
  • Атаки, основанные на социальной инженерии или фишинге


Принципы ответственного раскрытия

Мы ожидаем следование принципам ответственного раскрытия от исследователей, взявшихся за поиск уязвимостей на сервисе Love.ru. Это означает что лицо, обнаружившее уязвимость и сообщившее о ней посредством формы, обязуется не разглашать информацию об уязвимости третьим лицам в течение времени, которое требуется для ее устранения. Участник программы по поиску уязвимостей не должен в какой-либо форме раскрывать данные, доступ к которым был получен в результате его исследований. К их числу мы относим персональные данные пользователей, а также иные сведения, способные затруднить работу сервиса Love.ru. В процессе исследования данные реальных пользователей сервиса не должны быть скомпрометированы - автор должен использовать свои учётные записи для поиска и демонстрации атаки.
We use cookies and care about your privacy to ensure you have the best experience on our site. Siteyi kullanmaya devam ederek çerez kullanımına izin vermiş olursunuz. More