FireBounty
52235 policies in database
Link to program      
2015-05-29
2019-08-03
VK.com logo
Thank
Gift
HOF
Reward

Reward

100 $ 

VK.com

For English description, see below.

Программа поиска уязвимостей VK.com

Программа ограничена поиском технических уязвимостей в сервисах компании и в ее официальных мобильных приложениях.

В программе также есть дополнительная категория для VK ID — сервиса единой авторизации для всех проектов экосистемы VK.

Уязвимости — недостатки в системе, использование которых может намеренно нарушить её целостность, конфиденциальность или вызвать неправильную работу.

По вопросам, не относящимся к данной программе, стоит обращаться в нашу службу Поддержки.

Официальные сообщества приложений:

  • ВКонтакте для iPhone: https://vk.com/iphone_app

  • ВКонтакте для Android: https://vk.com/android_app

  • VK Admin: https://vk.com/vkadmin

  • VK Messenger: https://vk.com/desktop_app

Принимаем в качестве уязвимостей:

В качестве классификации уязвимостей для веб-сервисов используется OWASP Top 10 2017 года, для мобильных приложений — OWASP Mobile Top 10 2016 года.

  • Remote Code Execution (RCE)

  • SQL Injection

  • Local-Remote File Inclusion (LFI/RFI)

  • XML External Entity (XXE)

  • Broken Authentication (обход 2FA, и т.д.)

  • Sensitive Data Exposure

  • Cross-Site Scripting (XSS)

  • Security Misconfiguration

  • Using Components with Known Vulnerabilities (с примерами)

  • Server Side Request Forgery (SSRF)

  • Сross Site Request Forgery (CSRF)

  • Insecure Direct Object References (IDOR)

  • Open Redirect (не через /away.php)

  • Flood-control bypass

  • Privacy bypass

  • Other Injections

Не принимаем:

  • Сообщения от сканеров безопасности и других автоматических систем.

  • Сообщения об уязвимости, основанные на версиях ПО/протокола, без указания реального применения.

  • Сообщения об отсутствии механизма защиты или несоответствия рекомендациям (например, отсутствие CSRF токена) без указания на реально существующие негативные последствия.

  • Logout CSRF.

  • Self-XSS.

  • Framing.

  • Clickjacking.

  • Сообщения об Open Redirect (через /away.php).

  • Гомографические атаки IDN.

  • Раскрытие публичной информации о пользователе/сообществе (см. настройки приватности).

  • Атаки, требующие полного доступа к странице пользователя или профилю браузера.

  • Уязвимости в партнерских сервисах и продуктах, которые непосредственно не затрагивают безопасность сервисов компании.

Строго запрещены:

  • DDoS атаки.

  • Социальная инженерия.

  • Получение физического доступа к серверам/инфраструктуре.

  • Угрозы/причинение вреда сотрудникам компании.

Более того, подобные действия будут преследоваться по закону.

Пожелания к отчету:

Следование этому пожеланию увеличит вероятность получения награды.

  • Сервис, в котором найдена уязвимость.

  • Тип уязвимости.

  • Примеры эксплуатации со скриншотами/скринкастом.

  • Способы воспроизведения.

  • Какое влияние оказывает.

  • Возможные варианты исправления с Вашей точки зрения.

Рассмотрение отчетов, выплата и размеры наград:

  • Минимальная награда: $100.

  • Отчеты рассматриваются в течение недели (но обычно сильно быстрее).

  • Награда прямо пропорционально зависит от серьезности уязвимости и детализации описания в отчете.

  • Выплаты производятся только через сервис HackerOne.

  • Вознаграждение выплачивается только первому исследователю, сообщившему о неизвестной ранее проблеме.

  • Мы крайне негативно относимся к эксплуатации найденных уязвимостей, что означает полный отказ в выплате награды за нее.

VK Vulnerability Reward Program

The scope of this program is limited to finding technical vulnerabilities in VK services and its official mobile apps.

There is also an additional category in the program for VK ID, the single sign-on service for all VK ecosystem projects.

Vulnerabilities are flaws in the system, the intentional exploitation of which can compromise the system’s integrity, confidentiality or proper functionality.

For questions not related to this program, please contact our Support team.

Official apps communities:

  • VK App for iPhone: https://vk.com/iphone_app

  • VK App for Android: https://vk.com/android_app

  • VK Admin: https://vk.com/vkadmin

  • VK Messenger: https://vk.com/desktop_app

Qualifying Vulnerabilities:

To assess vulnerabilities, we use OWASP Top 10 2017 for web-services and OWASP Mobile Top 10 2016 for mobile.

  • Remote Code Execution (RCE)

  • SQL Injection

  • Local-Remote File Inclusion (LFI/RFI)

  • XML External Entity (XXE)

  • Broken Authentication (2FA bypass, etc.)

  • Sensitive Data Exposure

  • Cross-Site Scripting (XSS)

  • Security Misconfiguration

  • Using Components with Known Vulnerabilities (with examples)

  • Server Side Request Forgery (SSRF)

  • Сross Site Request Forgery (CSRF)

  • Insecure Direct Object References (IDOR)

  • Open Redirect (not through /away.php)

  • Flood-control bypass

  • Privacy bypass

  • Other Injections

Non-qualifying Vulnerabilities:

  • Reports from security scanners and other automated systems.

  • Vulnerability reports based solely on software/protocol versions without a valid proof of concept.

  • Reports about missing protection mechanisms or mismatched recommendations (for example, the absence of a CSRF token) without referring to a concrete negative consequence.

  • Logout CSRF.

  • Self-XSS.

  • Framing.

  • Clickjacking.

  • Reports about Open Redirect (through /away.php).

  • IDN homograph attacks.

  • Disclosure of user/community public information (see privacy settings).

  • Attacks that require complete access to a user’s page or browser profile.

  • Vulnerabilities within partner services and products that are not directly affecting VK’s products and services security.

Strictly Prohibited:

  • DDoS attacks.

  • Social engineering.

  • Gaining physical access to the servers/infrastructure.

  • Threats/harm to company employees.

Moreover, such actions will be prosecuted to the fullest extent of the law, without exception.

Report Recommendations:

When writing your report, be sure to include the following to increase your chances of receiving a reward.

  • The service containing the vulnerability.

  • The type of vulnerability.

  • Examples of exploiting it, captured by screenshots or screencasts.

  • Methods of reproducing the vulnerability.

  • What impact the vulnerability has.

  • Recommendations for fixing the vulnerability.

Reviews and Rewards:

  • Minimum reward: $100.

  • Reports are reviewed within a week (but usually faster).

  • The reward amount depends on the severity of the vulnerability and how detailed the respective report is.

  • Payments are only made through HackerOne.

  • The reward will only be given to the first researcher that reports a previously unknown vulnerability.

  • We consider the exploitation of discovered vulnerabilities to be extremely unethical, and we will not provide a reward in such cases.

Safe Harbor:

Any activities conducted in a manner consistent with this policy will be considered authorized conduct and we will not initiate legal action against you. If legal action is initiated by a third party against you in connection with activities conducted under this policy, we will take steps to make it known that your actions were conducted in compliance with this policy.

In Scope

Scope Type Scope Name
android_application

com.vkontakte.android
android_application

com.vk.im
android_application

com.vk.admin
application

VK Messenger
ios_application

564177498
ios_application

1441659687
ios_application

1219369741
other

Content
web_application

*.vk.com
web_application

*.vk.me
web_application

*.vk.cc
web_application

*.vk.link
web_application

id.vk.com

Out of Scope

Scope Type Scope Name
web_application

*.vk-apps.com
web_application

*.vkpay.io

This program have been found on Hackerone on 2015-05-29.

FireBounty © 2015-2024

Legal notices | Privacy policy