5512 policies in database
Link to program      
2015-05-29
2019-08-03
VK.com logo
Thank
Gift
HOF
Reward

Reward

100 $ 

VK.com

For English description, see below.

Программа поиска уязвимостей VK.com

Программа ограничена поиском технических уязвимостей в сервисах компании и в ее официальных мобильных приложениях.

Уязвимости — недостатки в системе, использование которых может намеренно нарушить её целостность, конфиденциальность или вызвать неправильную работу.

По вопросам, не относящимся к данной программе, стоит обращаться в нашу службу Поддержки .

Официальные сообщества приложений:

Принимаем в качестве уязвимостей:

В качестве классификации уязвимостей для веб-сервисов используется OWASP Top 10 2017 года , для мобильных приложений — OWASP Mobile Top 10 2016 года .

  • Remote Code Execution (RCE)
  • SQL Injection
  • Local-Remote File Inclusion (LFI/RFI)
  • XML External Entity (XXE)
  • Broken Authentication (обход 2FA, и т.д.)
  • Sensitive Data Exposure
  • Cross-Site Scripting (XSS)
  • Security Misconfiguration
  • Using Components with Known Vulnerabilities (с примерами)
  • Server Side Request Forgery (SSRF)
  • Сross Site Request Forgery (CSRF)
  • Insecure Direct Object References (IDOR)
  • Open Redirect (не через /away.php)
  • Flood-control bypass
  • Privacy bypass
  • Other Injections

Не принимаем:

  • Сообщения от сканеров безопасности и других автоматических систем.
  • Сообщения об уязвимости, основанные на версиях ПО/протокола, без указания реального применения.
  • Сообщения об отсутствии механизма защиты или несоответствия рекомендациям (например, отсутствие CSRF токена) без указания на реально существующие негативные последствия.
  • Logout CSRF.
  • Self-XSS.
  • Framing.
  • Clickjacking.
  • Сообщения об Open Redirect (через /away.php).
  • Гомографические атаки IDN.
  • Раскрытие публичной информации о пользователе/сообществе (см. настройки приватности ).
  • Атаки, требующие полного доступа к странице пользователя или профилю браузера.
  • Уязвимости в партнерских сервисах и продуктах, которые непосредственно не затрагивают безопасность сервисов компании.

Строго запрещены:

  • DDoS атаки.
  • Социальная инженерия.
  • Получение физического доступа к серверам/инфраструктуре.
  • Угрозы/причинение вреда сотрудникам компании.

Более того, подобные действия будут преследоваться по закону.

Пожелания к отчету:

Следование этому пожеланию увеличит вероятность получения награды.

  • Сервис, в котором найдена уязвимость.
  • Тип уязвимости.
  • Примеры эксплуатации со скриншотами/скринкастом.
  • Способы воспроизведения.
  • Какое влияние оказывает.
  • Возможные варианты исправления с Вашей точки зрения.

Выплата и размеры наград:

  • Минимальная награда: $100.
  • Награда прямо пропорционально зависит от серьезности уязвимости и детализации описания в отчете.
  • Выплаты производятся только через сервис HackerOne.
  • Вознаграждение выплачивается только первому исследователю, сообщившему о неизвестной ранее проблеме.
  • Мы крайне негативно относимся к эксплуатации найденных уязвимостей, что означает полный отказ в выплате награды за нее.

VK Vulnerability Reward Program

The scope of this program is limited to finding technical vulnerabilities in VK services and its official mobile apps.

Vulnerabilities are flaws in the system, the intentional exploitation of which can compromise the system’s integrity, confidentiality or proper functionality.

For questions not related to this program, please contact our Support team .

Official apps communities:

Qualifying Vulnerabilities:

To assess vulnerabilities, we use OWASP Top 10 2017 for web-services and OWASP Mobile Top 10 2016 for mobile.

  • Remote Code Execution (RCE)
  • SQL Injection
  • Local-Remote File Inclusion (LFI/RFI)
  • XML External Entity (XXE)
  • Broken Authentication (2FA bypass, etc.)
  • Sensitive Data Exposure
  • Cross-Site Scripting (XSS)
  • Security Misconfiguration
  • Using Components with Known Vulnerabilities (with examples)
  • Server Side Request Forgery (SSRF)
  • Сross Site Request Forgery (CSRF)
  • Insecure Direct Object References (IDOR)
  • Open Redirect (not through /away.php)
  • Flood-control bypass
  • Privacy bypass
  • Other Injections

Non-qualifying Vulnerabilities:

  • Reports from security scanners and other automated systems.
  • Vulnerability reports based solely on software/protocol versions without a valid proof of concept.
  • Reports about missing protection mechanisms or mismatched recommendations (for example, the absence of a CSRF token) without referring to a concrete negative consequence.
  • Logout CSRF.
  • Self-XSS.
  • Framing.
  • Clickjacking.
  • Reports about Open Redirect (through /away.php).
  • IDN homograph attacks.
  • Disclosure of user/community public information (see privacy settings ).
  • Attacks that require complete access to a user’s page or browser profile.
  • Vulnerabilities within partner services and products that are not directly affecting VK’s products and services security.

Strictly Prohibited:

  • DDoS attacks.
  • Social engineering.
  • Gaining physical access to the servers/infrastructure.
  • Threats/harm to company employees.

Moreover, such actions will be prosecuted to the fullest extent of the law, without exception.

Report Recommendations:

When writing your report, be sure to include the following to increase your chances of receiving a reward.

  • The service containing the vulnerability.
  • The type of vulnerability.
  • Examples of exploiting it, captured by screenshots or screencasts.
  • Methods of reproducing the vulnerability.
  • What impact the vulnerability has.
  • Recommendations for fixing the vulnerability.

Rewards:

  • Minimum reward: $100.
  • The reward amount depends on the severity of the vulnerability and how detailed the respective report is.
  • Payments are only made through HackerOne.
  • The reward will only be given to the first researcher that reports a previously unknown vulnerability.
  • We consider the exploitation of discovered vulnerabilities to be extremely unethical, and we will not provide a reward in such cases.

In Scope

Scope Type Scope Name
android_application

com.vkontakte.android

android_application

https://vk.cc/android

android_application

com.vk.im

android_application

https://vk.com/landings/vkme

android_application

com.vk.admin

android_application

https://vk.cc/adminAndroid

application

https://vk.cc/messenger

ios_application

https://vk.cc/iphone

ios_application

https://vk.com/landings/vkme

ios_application

https://vk.cc/adminIOS

web_application

*.vk.com

web_application

*.vk.me

web_application

*.vk.cc

web_application

*.vk.link

web_application

*.vkpay.io

web_application

https://vk.com/vkpay

web_application

connect.vk.com

web_application

https://connect.vk.com/promo

Out of Scope

Scope Type Scope Name
web_application

*.vk-apps.com


This program have been found on Hackerone on 2015-05-29.

FireBounty © 2015-2020

Legal notices