Strona główna / Nagrody za zgłaszanie błędów (Bug Bounty)

Nagrody za zgłaszanie błędów (Bug Bounty)

Nagrody za zgłaszanie błędów (Bug Bounty)

Firma Bentley jest zobowiązania do bezpiecznego przechowywania danych naszych użytkowników. Dokładamy wszelkich starań, żeby sposób, w jaki to robimy, był przejrzysty. Świadczą o tym nasze niezawodne standardy i certyfikaty dotyczące prywatności i ochrony danych, bezpieczeństwa i zgodności z przepisami ustawowymi i wykonawczymi.

Wytyczne Programu odpowiedzialnego ujawniania informacji prowadzonego przez Bentley Systems

At Bentley Systems, we take the security of our systems and products seriously, and we value the security community. The disclosure of security vulnerabilities helps us ensure the security and privacy of our users. 

1. Wytyczne ogólne

Bentley Systems wymaga, aby wszyscy badacze:

  • Podczas testów zabezpieczeń unikali naruszania prywatności, pogarszania komfortu pracy użytkowników, zakłóceń w systemach produkcyjnych i niszczenia danych.
  • Prowadzili badania wyłącznie w zakresie wskazanym poniżej.
  • Przekazywali nam raporty o lukach w zabezpieczeniach przy użyciu kanałów komunikacji określonych poniżej.
  • Do czasu wyeliminowania wykrytych luk w zabezpieczeniach nie ujawniali ich nikomu poza firmą Bentley Systems.
Zobowiązujemy się do tego, że jeśli badacz będzie przestrzegał tych wytycznych, zgłaszając nam problem:
 
  • Nie będziemy podejmować ani wspierać żadnych działań prawnych w związku z badaniami zabezpieczeń prowadzonymi przez tego badacza.
  • Będziemy współpracować z badaczem, aby zrozumieć, na czym polega problem i szybko go wyeliminować.

2. Kodeks postępowania i obowiązki prawne

Uznajemy, że badania luk w zabezpieczeniach prowadzone zgodnie z niniejszymi zasadami:

  • Odbywają się na podstawie upoważnienia, zgodnie z ustawą o oszustwach i nadużyciach popełnianych z wykorzystaniem komputerów (CFAA, Computer Fraud and Abuse Act) (lub podobnymi przepisami krajowymi), i nie będziemy podejmować ani wspierać działań prawnych przeciwko badaczowi z powodu przypadkowych naruszeń tych zasad popełnionych w dobrej wierze.
  • Nie podlegają amerykańskiej ustawie o prawie autorskim w stuleciu cyfrowym (DMCA, Digital Millennium Copyright Act) i nie będziemy wysuwać przeciwko badaczowi roszczeń w związku z obejściem technicznych środków kontroli.
  • Nie podlegają tym ograniczeniom sformułowanym w naszych warunkach, postanowieniach i regulaminach, które zakłócałyby badanie zabezpieczeń, i w ograniczonym zakresie znosimy te ograniczenia w odniesieniu do czynności wykonywanych zgodnie z niniejszymi zasadami.
  • Są zgodne z prawem, korzystne dla ogólnego bezpieczeństwa Internetu i prowadzone w dobrej wierze.

Od badacza oczekuje się, jak zawsze, przestrzegania wszystkich obowiązujących przepisów prawa. Jeśli kiedykolwiek badacz będzie miał wątpliwości co do tego, lub nie będzie pewien, czy prowadzone przez niego badanie zabezpieczeń jest zgodne z niniejszymi zasadami, powinien przed kontynuowaniem badania przesłać zgłoszenie za pośrednictwem jednego z określonych poniżej kanałów komunikacji.

3. W zakresie / poza zakresem badań

ZakresPoza zakresem
  • Wszystkie subdomeny _.bentley.com
  • Wszystkie produkty desktopowe firmy Bentley Systems (tylko CONNECT Edition i późniejsze)
  • Wszystkie aplikacje mobilne firmy Bentley Systems
  • Wszystkie aplikacje i usługi w chmurze firmy Bentley
  • All Bentley Open-Source Projects (including imodeljs.org)
  • Infrastruktura firmy Bentley Systems (VPN, serwer pocztowy, SharePoint, Skype itp.)
  • Spostrzeżenia poczynione podczas testów fizycznych, takich jak próby wejścia do biura (np. niezamknięte drzwi, wejście osoby nieuprawnionej z osobą uprawnioną (tailgating))
  • Spostrzeżenia poczynione przede wszystkim w wyniku inżynierii społecznej (np. phishingu, vishingu)
  • Spostrzeżenia dotyczące aplikacji lub systemów niewymienionych w sekcji „Zakres”
  • Wszelkie usługi utrzymywane przez dostawców będących podmiotami trzecimi i w ramach usług podmiotów trzecich
  • https://www.plaxis.ru

4. Kwalifikujące się luki / wyłączenia

Kwalifikujące się lukiWyłączenia
  • Zdalne wykonanie kodu
  • Przejmowanie DLL
  • Iniekcja SQL
  • Skrypty między witrynami (XSS)
  • Identyfikacja i uwierzytelnianie
  • Niezabezpieczone bezpośrednie odwołanie do obiektu (IDOR)
  • Fałszerstwo żądania międzywitrynowego (CSRF)
  • Przechodzenie przez katalogi
  • Ekspozycja danych wrażliwych
  • Błędy w konfiguracji sesji
  • Broken Access control (Privilege Escalation)
  • Błędy w konfiguracji zabezpieczeń
  • Współużytkowanie zasobów między źródłami (CORS)
  • Otwarte przekierowanie
  • Przejęcie subdomeny*
  • Problemy z logiką biznesową
  • Iniekcja hiperłączy
  • Problemy z systemem Word-press
  • DDoS
  • DoS, and application-level DoS (unless the response is asymmetrical compared to the initial request)
  • Publicznie ogłoszone błędy w oprogramowaniu internetowym, w okresie 15 dni przed ich ujawnieniem
  • XSS przez tego samego użytkownika (Self-XSS) — wymagamy dowodu na możliwość wykorzystania XSS do ataku na innego użytkownika
  • Problemy związane z nagłówkiem X-Frame-Options (clickjacking)
  • Header injection (chyba, że można udowodnić, że takie ataki mogą prowadzić do kradzieży danych użytkownika)
  • Problemy, których nie można wykorzystać do naruszenia zabezpieczeń, ale które prowadzą do awarii, generowania zrzutu stosu i podobnych wycieków informacji lub zakłóceń stabilności.
  • Ekspozycja wersji (chyba że badacz przedstawi PoC działającego eksploitu).
  • Wszelkie problemy występujące tylko w przypadku przestarzałych przeglądarek, platform lub rozwiązań kryptograficznych (tj. TLS BEAST, POODLE itp.).
  • Spam lub techniki inżynierii społecznej, w tym problemy typu SPF i DKIM
  • Rate limit vulnerability not on a login functionality (unless a valid exploit PoC provided)
  • Włączenie pliku XMLRPC.php prowadzące do ataku DoS
  • Brak flag cookie w plikach cookie innych niż wrażliwe
  • Brak nagłówków zabezpieczeń, który nie prowadzi bezpośrednio do powstania luki (chyba że badacz przedstawi PoC)
  • Anything from an automated scan
  • Anything that is public by default (e.g. public keys, config files without sensitive information, etc.)
  • Anything not under Bentley Systems control (e.g. Google Analytics, etc.)
  • Problemy teoretyczne, które są w praktyce nieistotne.
  • Błędy w interfejsie użytkownika, błędy dotyczące doświadczenia użytkownika i błędy pisowni
  • Credentials found at breach forums like [https://breachforums.st, https://phonebook.cz] etc.
  • CAA certificate missing
  • User enumeration in WP, when only a few Bentley employees, who posted on the website, are exposed

*Należy zgłaszać wyłącznie, gdy dysponuje się dowodem poprawności koncepcji (PoC) w postaci dwóch zrzutów ekranu ze znacznikami czasu i widoczną subdomeną. Te zrzuty ekranu muszą dowodzić, że subdomena była wolna przez co najmniej jedną godzinę. Narzędzia skanujące często wychwytują krótkie okresy, w których akurat wprowadzane są zmiany dotyczące subdomeny, co może wskazywać na lukę tylko pozornie: rekord DNS jest zaraz potem usuwany. Załączenie zrzutów ekranu pozwoli uniknąć fałszywych zgłoszeń i niepotrzebnej straty czasu badacza oraz naszego zespołu. 

Raporty z niepełnym dowodem PoC (jeden znacznik czasu lub brak znacznika) nie będą traktowane jako pierwsze raporty. 

Uwaga! Niedozwolony jest dowód PoC polegający na faktycznym przejęciu zgłaszanej subdomeny. 

5. Sposób zgłaszania

Badacz, który uważa, że znalazł lukę w zabezpieczeniach jednego z naszych produktów lub jednej z naszych platform, powinien wypełnić formularz na tej stronie. 

A good practice is to think whether the discovered vulnerability puts at risk:

  • Bentley Systems clients’ information.
  • Bentley Systems software.
  • Bentley Systems reputation.

Należy podać następujące informacje:

  • Szczegółowy opis luki zawierający takie informacje, jak adres URL, pełne żądanie/odpowiedź HTTP i typ luki.
  • Information necessary to reproduce the issue.
  • Proof of concept including practical severity and attack scenario, indication of a potential risk only is hard to evaluate and usually such report is not approved.
  • If applicable, a screenshot and/or video of the vulnerability.
  • Dane kontaktowe, imię i nazwisko, e-mail, numer telefonu, lokalizację. Zgłoszenia bez tych informacji nie będą brane pod uwagę.
  • IMPORTANT NOTE. You may only make the initial submission through the form. If you have any questions not mentioned in a form, please e-mail us at [email protected].

6. Reguły testowania zabezpieczeń

  • Bezwzględnie zabronione są ataki typu „odmowa usługi” (DoS).
  • Bezwzględnie zabronione są wszelkie formy ataków siłowych w celu odkrycia poświadczeń.
  • Zabronione jest publiczne ujawniane zgłaszanej luki zanim zostanie ona wyeliminowana.
  • Badaczowi nie wolno przerywać ani pogarszać działania naszych systemów ani naruszać prywatności naszych użytkowników bądź integralności ich danych.
  • Wykorzystywanie luk (w celu innym niż uzyskanie ogólnego dowodu poprawności koncepcji (PoC)) jest bezwzględnie zabronione i będzie ścigane zgodnie z mającym zastosowanie prawem.
  • Jeśli luka w zabezpieczeniach umożliwia niezamierzony dostęp do danych, badacz ma obowiązek:
    • ograniczyć ilość danych, do których uzyskuje dostęp, do minimum niezbędnego do skutecznego dowiedzenia poprawności koncepcji (PoC); oraz
    • zaprzestać testowania; oraz
    • natychmiast wysłać raport w razie napotkania podczas testowania jakichkolwiek danych użytkowników, takich jak informacje umożliwiające identyfikację osób (PII, Personally Identifiable Information), informacje medyczne dotyczące osób (PHI, Personal Healthcare Information), dane kart kredytowych lub informacje
      zastrzeżone.
  • Firma Bentley nie będzie odpowiadać na próby wymuszenia lub inne działania przestępcze o podobnym charakterze (np. żądania zapłaty z góry w zamian za niewykorzystanie znalezionej luki).

7. Publiczne ujawnianie

Prosimy wstrzymać się przez 90 dni z ujawnianiem publicznym luki, chyba że nasz zespół wcześniej poinformuje o jej wyeliminowaniu. Ujawnienie luki z naruszeniem tego ograniczenia spowoduje podjęcie działań prawnych.

8. Duplikaty

  • Only the first researcher to report an issue will be entitled for a reward.
  • The reports of the same issue in different environments are not rewarded and closed as duplicates. (e.g. dev-*-bentley.com, qa- dev-*-bentley.com, prod- dev-*-bentley.com) 
  • The reports of the same issue in different deployment regions are not rewarded and closed as duplicates. (e.g. *.us.bentley.com, *.eus-bentley.com, *.in.-*-bentley.com)
  • Multiple instances of the same issue will only be compensated to a max of 3x the reward sum. (e.g. expires SSL certificate on 25 domain and subdomains will count 3×100 USD, and not 25×100 USD)

9. Wstępna kwalifikacja luk w zabezpieczeniach

Po otrzymaniu zgłoszenia:
  • Zgłoszona luka zostanie przeanalizowana.
  • You will be informed if the issue is closed without a reward. We do not send a detailed explanation of the resolution.
  • If we determine the submission is valid and meets the requirements of this policy, you may receive a reward after the fix is implemented. Our commitment is to reward your efforts within 90 days.

10. Wynagrodzenie

Przykłady luk w zabezpieczeniachPrzedział cen (USD)**
Ominięcie kontroli dostępu (podwyższenie uprawnień)250–450
Problemy z logiką biznesową100–300
Współużytkowanie zasobów między źródłami (CORS)100–200
Fałszerstwo żądania międzywitrynowego (CSRF)150–250
Skrypty między witrynami (XSS)100–200
Przejmowanie DLL50
Iniekcja hiperłączy50
Identyfikacja i uwierzytelnianie250–450
Niezabezpieczone bezpośrednie odwołanie do obiektu (IDOR)250–450
Otwarte przekierowanie50–150
Inne0–500
Zdalne wykonanie kodu600
Błędy w konfiguracji zabezpieczeń50–250
Ekspozycja danych wrażliwych50–200
Secrets leak200–500
Błędy w konfiguracji sesji50–200
Iniekcja SQL250–500
 

NOTE. A report will not be eligible for a financial reward (even if Bentley Systems accepts and addresses it) in some situations including, but not limited to, the following: 

  • report was submitted by current of former employee of Bentley Systems
  • report was submitted by the commercial entities or individuals conducting formal/commercial security testing on behalf of Bentley Systems customers.
  • report was submitted by the employee or subcontractors of a company that is a customer of Bentley Systems services.
  • report was submitted by the employee of the company that is a Bentley System’s service provider.
  • report was submitted by an individual residing in a country that is currently subject to international sanctions.
  • Bentley System’s legal department fails to associate researcher’s PayPal email address and the identity; meaning that you cannot get the reward to somebody’s else account.

**Za więcej niż jedno wystąpienie tego samego problemu przysługuje wynagrodzenie nieprzekraczające 3-krotności ceny.

**Zgłoszenia tego samego problemu w różnych środowiskach produktu (programistycznym, testowym, produkcyjnym) będą liczone jako jedno.

Zastrzegamy sobie prawo do zmiany niniejszych zasad w dowolnym momencie i z dowolnej przyczyny, a ponadto nie możemy zagwarantować wynagrodzenia za wszystkie raporty. Wynagrodzenie jest wypłacane wyłącznie za pośrednictwem serwisu PayPal. 

WAŻNE. Należy wysłać wyłącznie ważny adres do płatności PayPal: płatności nie będą wykonywane na adresy inne niż oryginalny. Jeśli z jakiegokolwiek powodu transakcja nie powiedzie się (tj. PayPal odrzuci transakcję; bank docelowy nie przyjmie płatności; nastąpi przekroczenie limitu kwoty, płatność będzie przyjmowana tylko przez witrynę internetową lub zgodnie z inną procedurą itp.), płatność zostanie anulowana i nie zostanie powtórnie zlecona.

Bentley Systems zastrzega sobie prawo do zakończenia prowadzenia Programu odpowiedzialnego ujawniania informacji oraz związanego z nim systemu płatności — w dowolnym czasie i bez zapowiedzi.

Wyślij raport

Spis treści

Bentley Systems wymaga, aby wszyscy badacze:

  • Podczas testów zabezpieczeń unikali naruszania prywatności, pogarszania komfortu pracy użytkowników, zakłóceń w systemach produkcyjnych i niszczenia danych.
  • Prowadzili badania wyłącznie w zakresie wskazanym poniżej.
  • Przekazywali nam raporty o lukach w zabezpieczeniach przy użyciu kanałów komunikacji określonych poniżej.
  • Do czasu wyeliminowania wykrytych luk w zabezpieczeniach nie ujawniali ich nikomu poza firmą Bentley Systems.
Zobowiązujemy się do tego, że jeśli badacz będzie przestrzegał tych wytycznych, zgłaszając nam problem:
 
  • Nie będziemy podejmować ani wspierać żadnych działań prawnych w związku z badaniami zabezpieczeń prowadzonymi przez tego badacza.
  • Będziemy współpracować z badaczem, aby zrozumieć, na czym polega problem i szybko go wyeliminować.

Uznajemy, że badania luk w zabezpieczeniach prowadzone zgodnie z niniejszymi zasadami:

  • Odbywają się na podstawie upoważnienia, zgodnie z ustawą o oszustwach i nadużyciach popełnianych z wykorzystaniem komputerów (CFAA, Computer Fraud and Abuse Act) (lub podobnymi przepisami krajowymi), i nie będziemy podejmować ani wspierać działań prawnych przeciwko badaczowi z powodu przypadkowych naruszeń tych zasad popełnionych w dobrej wierze.
  • Nie podlegają amerykańskiej ustawie o prawie autorskim w stuleciu cyfrowym (DMCA, Digital Millennium Copyright Act) i nie będziemy wysuwać przeciwko badaczowi roszczeń w związku z obejściem technicznych środków kontroli.
  • Nie podlegają tym ograniczeniom sformułowanym w naszych warunkach, postanowieniach i regulaminach, które zakłócałyby badanie zabezpieczeń, i w ograniczonym zakresie znosimy te ograniczenia w odniesieniu do czynności wykonywanych zgodnie z niniejszymi zasadami.
  • Są zgodne z prawem, korzystne dla ogólnego bezpieczeństwa Internetu i prowadzone w dobrej wierze.

Od badacza oczekuje się, jak zawsze, przestrzegania wszystkich obowiązujących przepisów prawa. Jeśli kiedykolwiek badacz będzie miał wątpliwości co do tego, lub nie będzie pewien, czy prowadzone przez niego badanie zabezpieczeń jest zgodne z niniejszymi zasadami, powinien przed kontynuowaniem badania przesłać zgłoszenie za pośrednictwem jednego z określonych poniżej kanałów komunikacji.

Zakres
  • Wszystkie subdomeny _.bentley.com
  • Wszystkie produkty desktopowe firmy Bentley Systems (tylko CONNECT Edition i późniejsze)
  • Wszystkie aplikacje mobilne firmy Bentley Systems
  • Wszystkie aplikacje i usługi w chmurze firmy Bentley
  • Wszystkie projekty Open Source firmy Bentley (w tym imodeljs.org)
Poza zakresem
  • Infrastruktura firmy Bentley Systems (VPN, serwer pocztowy, SharePoint, Skype itp.)
  • Spostrzeżenia poczynione podczas testów fizycznych, takich jak próby wejścia do biura (np. niezamknięte drzwi, wejście osoby nieuprawnionej z osobą uprawnioną (tailgating))
  • Spostrzeżenia poczynione przede wszystkim w wyniku inżynierii społecznej (np. phishingu, vishingu)
  • Spostrzeżenia dotyczące aplikacji lub systemów niewymienionych w sekcji „Zakres”
  • Błędy w interfejsie użytkownika, błędy dotyczące doświadczenia użytkownika i błędy pisowni
  • Luki grożące „odmową usługi” (DoS/DDoS) na poziomie sieci
  • Wszelkie usługi utrzymywane przez dostawców będących podmiotami trzecimi i w ramach usług podmiotów trzecich
  • https://www.plaxis.ru
  • https://communities.bentley.com Raporty dotyczące forum użytkowników należy kierować bezpośrednio do Telligent.
  • Raporty dotyczące Synchro Academy należy kierować bezpośrednio do Cypher Learning.
  • https://ebook.bentley.com/ Raporty dotyczące e-booków należy kierować bezpośrednio do Impelsys.
  • https://yii.bentley.com/en
  • https://vshow.on24.com/vshow/bsn012108_ve_01/registration/19990
  • https://vshow.on24.com/vshow/bsn012108_ve_01/lobby/19990
Kwalifikujące się luki
  • Ominięcie kontroli dostępu (podwyższenie uprawnień)
  • Problemy z logiką biznesową
  • Współużytkowanie zasobów między źródłami (CORS)
  • Fałszerstwo żądania międzywitrynowego (CSRF)
  • Skrypty między witrynami (XSS)
  • Przechodzenie przez katalogi
  • Przejmowanie DLL
  • Iniekcja hiperłączy
  • Identyfikacja i uwierzytelnianie
  • Niezabezpieczone bezpośrednie odwołanie do obiektu (IDOR)
  • Otwarte przekierowanie
  • Inne
  • Zdalne wykonanie kodu
  • Błędy w konfiguracji zabezpieczeń
  • Ekspozycja danych wrażliwych
  • Błędy w konfiguracji sesji
  • Iniekcja SQL
  • Przejęcie subdomeny*
  • Problemy z systemem Word-press
Wyłączenia
  • Publicznie ogłoszone błędy w oprogramowaniu internetowym, w okresie 15 dni przed ich ujawnieniem
  • Spam lub techniki inżynierii społecznej, w tym problemy typu SPF i DKIM
  • XSS przez tego samego użytkownika (Self-XSS) — wymagamy dowodu na możliwość wykorzystania XSS do ataku na innego użytkownika
  • Problemy związane z nagłówkiem X-Frame-Options (clickjacking)
  • Luka dotycząca limitu częstości żądań (chyba że zostanie przedstawiony ważny PoC eksploitu)
  • Włączenie pliku XMLRPC.php prowadzące do ataku DoS
  • Brak flag cookie w plikach cookie innych niż wrażliwe
  • Brak nagłówków zabezpieczeń, który nie prowadzi bezpośrednio do powstania luki (chyba że badacz przedstawi PoC)
  • Iniekcja nagłówka (chyba że badacz wykaże, jak może doprowadzić do kradzieży danych użytkownika)
  • Ekspozycja wersji (chyba że badacz przedstawi PoC działającego eksploitu).
  • Problemy, których nie można wykorzystać do naruszenia zabezpieczeń, ale które prowadzą do awarii, generowania zrzutu stosu i podobnych wycieków informacji lub zakłóceń stabilności.
  • Odmowa usługi (DoS).
  • Wszelkie problemy występujące tylko w przypadku przestarzałych przeglądarek, platform lub rozwiązań kryptograficznych (tj. TLS BEAST, POODLE itp.).
  • Wszelkie problemy ujawnione w wyniku zautomatyzowanego skanowania, znane publicznie lub takie, na które firma Bentley Systems nie na wpływu (np. Google Analytics itp.).
  • Problemy teoretyczne, które są w praktyce nieistotne.

*Należy zgłaszać wyłącznie, gdy dysponuje się dowodem poprawności koncepcji (PoC) w postaci dwóch zrzutów ekranu ze znacznikami czasu i widoczną subdomeną. Te zrzuty ekranu muszą dowodzić, że subdomena była wolna przez co najmniej jedną godzinę. Narzędzia skanujące często wychwytują krótkie okresy, w których akurat wprowadzane są zmiany dotyczące subdomeny, co może wskazywać na lukę tylko pozornie: rekord DNS jest zaraz potem usuwany. Załączenie zrzutów ekranu pozwoli uniknąć fałszywych zgłoszeń i niepotrzebnej straty czasu badacza oraz naszego zespołu.

Raporty z niepełnym dowodem PoC (jeden znacznik czasu lub brak znacznika) nie będą traktowane jako pierwsze raporty.

Uwaga! Niedozwolony jest dowód PoC polegający na faktycznym przejęciu zgłaszanej subdomeny.

Badacz, który uważa, że znalazł lukę w zabezpieczeniach jednego z naszych produktów lub jednej z naszych platform, powinien wypełnić formularz na tej stronie.

Należy podać następujące informacje:

  • Szczegółowy opis luki zawierający takie informacje, jak adres URL, pełne żądanie/odpowiedź HTTP i typ luki.
  • Informacje potrzebne do odtworzenia problemu.
  • Jeśli ma zastosowanie — zrzut ekranu i/lub klip wideo przedstawiający lukę.
  • Dane kontaktowe, imię i nazwisko, e-mail, numer telefonu, lokalizację. Zgłoszenia bez tych informacji nie będą brane pod uwagę.
  • WAŻNA UWAGA. Za pośrednictwem formularza można dokonywać tylko pierwszych zgłoszeń. W razie pytań nieujętych w formularzu prosimy skontaktować się z nami e-mailowo pod adresem [e-mail chroniony].
  • Bezwzględnie zabronione są ataki typu „odmowa usługi” (DoS).
  • Bezwzględnie zabronione są wszelkie formy ataków siłowych w celu odkrycia poświadczeń.
  • Zabronione jest publiczne ujawniane zgłaszanej luki zanim zostanie ona wyeliminowana.
  • Badaczowi nie wolno przerywać ani pogarszać działania naszych systemów ani naruszać prywatności naszych użytkowników bądź integralności ich danych.
  • Wykorzystywanie luk (w celu innym niż uzyskanie ogólnego dowodu poprawności koncepcji (PoC)) jest bezwzględnie zabronione i będzie ścigane zgodnie z mającym zastosowanie prawem.
  • Jeśli luka w zabezpieczeniach umożliwia niezamierzony dostęp do danych, badacz ma obowiązek:
    • ograniczyć ilość danych, do których uzyskuje dostęp, do minimum niezbędnego do skutecznego dowiedzenia poprawności koncepcji (PoC); oraz
    • zaprzestać testowania; oraz
    • natychmiast wysłać raport w razie napotkania podczas testowania jakichkolwiek danych użytkowników, takich jak informacje umożliwiające identyfikację osób (PII, Personally Identifiable Information), informacje medyczne dotyczące osób (PHI, Personal Healthcare Information), dane kart kredytowych lub informacje
      zastrzeżone.
  • Firma Bentley nie będzie odpowiadać na próby wymuszenia lub inne działania przestępcze o podobnym charakterze (np. żądania zapłaty z góry w zamian za niewykorzystanie znalezionej luki).

Prosimy wstrzymać się przez 90 dni z ujawnianiem publicznym luki, chyba że nasz zespół wcześniej poinformuje o jej wyeliminowaniu. Ujawnienie luki z naruszeniem tego ograniczenia spowoduje podjęcie działań prawnych.

Zgodnie z niniejszymi zasadami rozpatrywany będzie udział w programie wyłącznie pierwszego badacza, który zgłosi problem lub podobne problemy. Dotyczy to także zgłoszeń tego samego problemu w różnych środowiskach (np. programistycznym, testowym, produkcyjnym).

Po otrzymaniu zgłoszenia:

  • Zgłoszona luka zostanie przeanalizowana.
  • Jeśli uznamy, że zgłoszenie jest uzasadnione i spełnia wymagania określone w niniejszych zasadach, być może badacz będzie mógł otrzymać wynagrodzenie.
  • Badacz zostanie poinformowany o wyeliminowaniu problemu.
Przykłady luk w zabezpieczeniach Przedział cen (USD)**
Ominięcie kontroli dostępu (podwyższenie uprawnień) 200–400
Problemy z logiką biznesową 100–300
Współużytkowanie zasobów między źródłami (CORS) 100–200
Fałszerstwo żądania międzywitrynowego (CSRF) 100–200
Skrypty między witrynami (XSS) 50–150
Przechodzenie przez katalogi 100–200
Przejmowanie DLL 100–200
Iniekcja hiperłączy 50
Identyfikacja i uwierzytelnianie 200–400
Niezabezpieczone bezpośrednie odwołanie do obiektu (IDOR) 200–400
Otwarte przekierowanie 50–150
Inne 0–500
Zdalne wykonanie kodu 500
Błędy w konfiguracji zabezpieczeń 50–200
Ekspozycja danych wrażliwych 50–500
Błędy w konfiguracji sesji 50–150
Iniekcja SQL 200–400
**Za więcej niż jedno wystąpienie tego samego problemu przysługuje wynagrodzenie nieprzekraczające 3-krotności ceny.

**Zgłoszenia tego samego problemu w różnych środowiskach produktu (programistycznym, testowym, produkcyjnym) będą liczone jako jedno.

Zastrzegamy sobie prawo do zmiany niniejszych zasad w dowolnym momencie i z dowolnej przyczyny, a ponadto nie możemy zagwarantować wynagrodzenia za wszystkie raporty. Wynagrodzenie jest wypłacane wyłącznie za pośrednictwem serwisu PayPal. 

WAŻNE. Należy wysłać wyłącznie ważny adres do płatności PayPal: płatności nie będą wykonywane na adresy inne niż oryginalny. Jeśli z jakiegokolwiek powodu transakcja nie powiedzie się (tj. PayPal odrzuci transakcję; bank docelowy nie przyjmie płatności; nastąpi przekroczenie limitu kwoty, płatność będzie przyjmowana tylko przez witrynę internetową lub zgodnie z inną procedurą itp.), płatność zostanie anulowana i nie zostanie powtórnie zlecona.

Bentley Systems zastrzega sobie prawo do zakończenia prowadzenia Programu odpowiedzialnego ujawniania informacji oraz związanego z nim systemu płatności — w dowolnym czasie i bez zapowiedzi.

20% rabatu na oprogramowanie Bentley

Oferta kończy się w piątek

Użyj kodu „THANKS24“

Świętuj z nami wybitne osiągnięcia w dziedzinie realizacji i wydajności infrastruktury

Konferencja Year in Infrastructure i konkurs Going Digital Awards 2024

Zgłoś projekt do najbardziej prestiżowego konkursu w dziedzinie infrastruktury! Przedłużony termin nadsyłania zgłoszeń upływa 29 kwietnia.