Rambler&Co запустил программу поиска уязвимости в своих сервисах: «Ленте.ру», «Газете.Ru», портале «Рамблер», «Чемпионате», «Секрете фирмы», Motor.ru, Ferra.ru и других. Вознаграждение за обнаружение критической уязвимости с рейтингом 9,9 – 10 составит 100 тысяч рублей.
Тем, кто обнаружит уязвимости с высоким рейтингом (8 – 9,8), выплатят от 35 до 45 тысяч рублей. Награда за обнаружение уязвимостей со средним рейтингом (4 – 7,9) составит от 5 до 20 тысяч рублей, с низким (0,1 – 3,9) — 2 тысячи рублей.
Основной упор Rambler&Co планирует сделать на поиске критических уязвимостей: RCE, Injections, SSRF, LFI/RFI и XXE.
Также медиахолдинг интересует поиск дыр в безопасности вне программ:
Clickjacking;
CSRF на логин/логаут;
Man in the middle;
любых методов социальной инженерии;
Self-XSS;
любой вредоносной активности, которая может привести к отказу в обслуживании (DoS);
результатов работы автоматических сканеров без реального POC;
инъекций http-заголовков без серьёзного влияния на безопасность (в том числе CRLF);
SPF/DKIM/DMARC-мисконфигурации;
SSL/TLS бест практик;
атак, требующих физического доступа к оборудованию компании;
уязвимостей в сторонних библиотеках, напрямую не ведущих к уязвимостям;
отсутствия любых других бест практик, напрямую не ведущих к уязвимости;
уязвимостей, применимых только к пользователям с устаревшими браузерами;
устаревших DNS-записей;
отсутствия флагов безопасности на некритичных куках;
утечек информации через заголовок referer;
утечек информации через /status или /metrics без конкретного влияния на безопасность.
Отчёт об уязвимости должен содержать все необходимые шаги, команды и зависимости для её воспроизведения. Достаточно следующих демонстраций:
SQL Injection — получение версии базы данных;
XXE / XML injection — демонстрация факта XXE, кроме DOS;
XSS — вывод алерта или сообщения в лог;
RCE — hostname, id, ifconfig;
SSRF — curl на внутренний домен (load.rambler-co.ru(10.99.2.96)).
