FireBounty
52235 policies in database
Link to program      
2018-11-30
2019-09-26
Avito logo
Thank
Gift
HOF
Reward

Avito

Scope

Currently the scope of this program is limited to Avito desktop and mobile websites. However, if you find any vulnerabilities in other Avito projects, which may affect the security of our users and services, we will be happy to receive this information (reports will be marked as "Informative").

To report bugs not related to information security (including any account sign in problems), please contact our [Support Service](https://support.avito.ru/request?eventData[contextId]=117.

In-scope assets:

www.avito.ru

m.avito.ru

Out-of-scope assets:

  • Avito mobile apps

  • Other Avito projects, their mobile apps and APIs

  • Any 3rd-party services and software

In-scope vulnerabilities:

  • Server-side Remote Code Execution (RCE)

  • SQL-injection

  • XML External Entity Attacks (XXE)

  • Server-side Request Forgery (SSRF)

  • Cross-site Scripting (XSS)

  • Insecure direct object reference

  • Broken authentication or session management

  • Privilege escalation

  • Operation limit bypassing

  • Sensitive data exposure

Currently out-of-scope vulnerabilities:

  • Reports from automated scanners without appropriate analysis or demonstration of security impacts

  • Outdated/vulnerable software without exploitation examples

  • Missing security best practices and protection mechanisms without evidence of a vulnerability

  • Weak password policies

  • Information disclosure that does not present a significant risk

  • Any CSRF issues

  • Open redirect without an intermediate page

  • Self-XSS affecting only current user

  • Issues related to window.opener 

  • Any SSL issues

  • Any issues related to clickjacking

  • Content spoofing without modification of HTML/CSS 

  • Vulnerabilities affecting users of outdated browsers

  • Session hijacking, session timeout

  • Missing security HTTP headers (X-Frame-*, X-Content-*, CSP, HSTS, HPKP) and cookies flags

  • Missing SPF, DKIM, DMARC records

  • Possibilities for exhaustive search by user/item identifiers

  • Possibilities of username / email enumeration

  • Vulnerabilities that we already know by internal testing or that have been reported to us earlier 

Strictly prohibited:

  • Performing DoS and DDoS attacks, affecting performance/accessibility of our services

  • Attacking corporate infrastructure

  • Searching for vulnerabilities in out-of-scope and 3rd-party services, including payment gateways

  • Exploiting physical access, phishing and social engineering attacks

  • Stealing regular users' accounts and performing any other actions affecting their security

  • Using discovered vulnerabilities for exploitation or any other goals not intended for making report or proof of concept

  • Publish any sensitive information discovered during security testing

  • Entering the office, eavesdropping passwords, creating fake access points and stealing our cookies!

Reporting

Please make sure your report contains detailed description of discovered vulnerability and steps to reproduce it. We will appreciate if the report would have the following format:

  • Vulnerability class

  • Site account/social login and account type (company/private)

  • Possible security impacts

  • Steps to reproduce vulnerability

  • Video or screenshots with vulnerability reproduction demo

  • Suggested steps to fix vulnerability

Disclosure policy

If you find an outstanding bug, we will be pleased to disclose it after validated fix by our developers.

Rewards

Currently we are not paying any monetary rewards, but hope to start doing it in the nearest future.

Рамки программы

На текущий момент в программе участвуют десктопный и мобильный сервис Avito. Однако если вы нашли уязвимость в ресурсах, не участвующих в программе, и уверены, что ее эксплуатация может негативно сказаться на безопасности наших пользователей — мы будем признательны за предоставленную информацию (соответствующие репорты получат статус "Informative").

С проблемами, не являющимися уязвимостями безопасности, в том числе ошибками доступа в личный кабинет, пожалуйста, обращайтесь в службу поддержки пользователей.

Ресурсы, участвующие в программе:

www.avito.ru

m.avito.ru

Ресурсы, которые не входят в программу:

  • Мобильные приложения Avito (Android/iOS)

  • Другие проекты Авито, их мобильные приложения и API

  • Сервисы и ПО, поставляемые третьими лицами

Перечень рассматриваемых уязвимостей:

  • Server-side Remote Code Execution (RCE)

  • SQL-injection

  • XML External Entity Attacks (XXE)

  • Server-side Request Forgery (SSRF)

  • Cross-site Scripting (XSS)

  • Insecure direct object reference

  • Ошибки механизма авторизации пользователей

  • Превышение прав доступа

  • Обход механизма ограничения лимитов операций

  • Получение доступа к конфиденциальной информации

На текущий момент в программу не входят:

  • Сообщения от сканеров безопасности и других средств автоматического тестирования без анализа и демонстрации негативных последствий

  • Информация об устаревших/уязвимых версиях ПО без примеров эксплуатации

  • Отсутствие распространенных практик безопасности и защитных механизмов без демонстрации уязвимости

  • Недостатки парольных политик

  • Раскрытие информации, не представляющее значительного риска безопасности

  • Возможность проведения атак CSRF

  • Open redirect без промежуточной страницы переадресации

  • Self-XSS, не позволяющие проводить атаку на другого пользователя

  • Уязвимости, связанные с window.opener

  • Недостатки SSL

  • Возможность проведения атак clickjacking

  • Возможность подмены содержимого страницы без модификации HTML/CSS

  • Уязвимости, которым подвержены пользователи только устаревших браузеров

  • Session hijacking, session timeout

  • Отсутствие заголовков безопасности HTTP (X-Frame-*, X-Content-*, CSP, HSTS, HPKP) и каких-либо флагов cookies

  • Отсутствие записей SPF, DKIM, DMARC

  • Возможность перебора идентификаторов объявлений и пользователей

  • Возможность перечисления имен пользователей / е-мэйлов

  • Уязвимости, выявленные нами в ходе внутреннего тестирования и/или уже сообщенные ранее

Запрещается:

  • Осуществлять DoS- и DDoS-атаки, нарушать работоспособность и доступность сервисов

  • Атаковать корпоративную инфраструктуру

  • Исследовать безопасность сервисов, не определенных рамками программы, в том числе платежных шлюзов и сайтов-партнеров

  • Использовать физический доступ, фишинг и социальную инженерию

  • Тестировать наличие уязвимости на не принадлежащих вам аккаунтах

  • Использовать обнаруженную уязвимость для доступа к конфиденциальной информации, компрометации аккаунтов пользователей или для других целей, которые не преследуют составление PoC

  • Разглашать конфиденциальную информацию, полученную в ходе исследований

  • Проникать на территорию офиса, подглядывать пароли, создавать ложные точки доступа и похищать печеньки!

Отчет

Отправляемый отчет должен содержать подробное описание обнаруженной уязвимости и последовательность шагов, необходимых для ее воспроизведения. Мы будем признательны, если отчет будет оформлен в следующем формате:

  • Категория уязвимости

  • Тип (частное лицо/компания) и используемая учетная запись (аккаунт на сайте или используемая социальная сеть)

  • Возможные негативные последствия эксплуатации уязвимости

  • Последовательность шагов для воспроизведения уязвимости

  • Видео и скриншоты, демонстрирующие процесс воспроизведения уязвимости

  • Один или несколько вариантов закрытия уязвимости

Политика разглашения

Если вы нашли действительно интересную уязвимость, мы будем рады раскрыть информацию после того, как она будет устранена и проверена разработчиками.

Вознаграждение

В настоящий момент мы не выплачиваем денежные вознаграждения за найденные уязвимости, но обязательно начнём это делать в будущем.

In Scope

Scope Type Scope Name
web_application

m.avito.ru
web_application

www.avito.ru

This program crawled on the 2018-11-30 is sorted as bounty.

FireBounty © 2015-2024

Legal notices | Privacy policy