Безопасная гавань
🛡️ Мы защищаем исследователей
MTB не будет инициировать юридических действий против исследователей безопасности, которые добросовестно обнаруживают и сообщают об уязвимостях в соответствии с данной политикой.
Если вы действуете добросовестно и соблюдаете правила, изложенные ниже, мы:
- Рассмотрим вашу деятельность как авторизованное тестирование;
- Не будем инициировать юридические действия;
- Будем работать с вами для понимания и устранения уязвимости;
- Признаем ваш вклад публично (если вы этого хотите).
Область действия
Следующие сервисы и домены входят в область программы:
- web.metalib.xyz — веб-приложение MTB;
- mtb.metalib.xyz — маркетинговый сайт;
- static.metalib.xyz — CDN статических ресурсов;
- API MTB — HTTP и WebSocket API;
- Система аутентификации — регистрация, вход, 2FA;
- Система загрузки файлов — обработка вложений и медиа;
- Голосовые/видео сервисы — WebRTC, медиа-серверы.
Типы уязвимостей, которые нас интересуют
- Удалённое выполнение кода (RCE);
- SQL-инъекции и NoSQL-инъекции;
- Межсайтовый скриптинг (XSS);
- Подделка межсайтовых запросов (CSRF);
- Обход аутентификации и авторизации;
- Небезопасное хранение данных;
- Уязвимости IDOR (Insecure Direct Object Reference);
- Утечка чувствительной информации;
- Эскалация привилегий;
- SSRF (Server-Side Request Forgery).
Вне области действия
Следующее не входит в область программы:
- Социальная инженерия сотрудников MTB;
- Физический доступ к серверам или офисам;
- DDoS/DoS-атаки;
- Спам или социальная инженерия пользователей;
- Результаты автоматических сканеров без подтверждения эксплуатации;
- Отсутствие заголовков безопасности без демонстрации воздействия;
- Self-XSS (требуется взаимодействие жертвы);
- Проблемы, требующие устаревших браузеров;
- Перечисление пользователей (username enumeration);
- Проблемы конфигурации email (SPF, DKIM, DMARC);
- Сторонние сервисы (за исключением случаев утечки данных MTB).
Как сообщить об уязвимости
📧 Контакт для отчётов
Отправьте детальный отчёт на security@metalib.xyz
Ваш отчёт должен включать:
- Описание: чёткое описание уязвимости;
- Шаги воспроизведения: подробные шаги для воспроизведения;
- Воздействие: описание потенциального ущерба;
- Доказательства: скриншоты, видео, PoC-код;
- Затронутые URL/эндпоинты: точные адреса;
- Рекомендации по исправлению (опционально).
Пожалуйста, не публикуйте информацию об уязвимости до её устранения.
Вознаграждения
Мы вознаграждаем исследователей за обнаружение серьёзных уязвимостей. Размер вознаграждения зависит от серьёзности:
| Серьёзность | Примеры | Вознаграждение |
|---|---|---|
| Критическая | RCE, SQL-инъекция с доступом к БД, обход аутентификации с токеном администратора | до 50 000 ₽ |
| Высокая | Хранимый XSS на основных страницах, IDOR с доступом к чужим данным, SSRF | до 25 000 ₽ |
| Средняя | CSRF для изменения настроек, утечка информации, обход rate limiting | до 10 000 ₽ |
| Низкая | Reflected XSS, незначительная утечка информации | до 5 000 ₽ |
Дополнительные бонусы:
- +50% за предоставление патча/исправления;
- +25% за исключительно качественный отчёт;
- Упоминание в Зале славы (по вашему желанию).
Правила безопасного тестирования
При тестировании соблюдайте следующие правила:
- Используйте собственные аккаунты — не тестируйте на чужих аккаунтах;
- Минимальное воздействие — не удаляйте, не изменяйте чужие данные;
- Без DoS — не проводите нагрузочное тестирование;
- Без автоматических сканеров — если только они не направлены точечно;
- Остановитесь при обнаружении — как только поняли уязвимость, прекратите тестирование;
- Конфиденциальность — не публикуйте данные до устранения уязвимости.
Сроки ответа
- Подтверждение получения: в течение 24 часов;
- Первичная оценка: в течение 3 рабочих дней;
- Обновление статуса: каждые 5 рабочих дней;
- Устранение уязвимости: зависит от серьёзности (критические — приоритет);
- Выплата вознаграждения: в течение 14 дней после подтверждения.
Зал славы
Мы благодарим исследователей, которые помогают делать MTB безопаснее. Если вы хотите быть упомянуты — укажите это в отчёте.
Будьте первым в нашем Зале славы — найдите и сообщите об уязвимости!
Контактная информация
- Отчёты об уязвимостях: security@metalib.xyz
- Общая поддержка: support@metalib.xyz
- Сайт: https://mtb.metalib.xyz