Strona główna / Nagrody za zgłaszanie błędów (Bug Bounty)

Nagrody za zgłaszanie błędów (Bug Bounty)

Nagrody za zgłaszanie błędów (Bug Bounty)

Firma Bentley jest zobowiązania do bezpiecznego przechowywania danych naszych użytkowników. Dokładamy wszelkich starań, żeby sposób, w jaki to robimy, był przejrzysty. Świadczą o tym nasze niezawodne standardy i certyfikaty dotyczące prywatności i ochrony danych, bezpieczeństwa i zgodności z przepisami ustawowymi i wykonawczymi.

Wytyczne Programu odpowiedzialnego ujawniania informacji prowadzonego przez Bentley Systems

Firma Bentley Systems, poważnie traktuje the Bezpieczeństwo   naszego systemów i Produkty i docenia the Bezpieczeństwo zaangażowanie społeczności. --- ujawnianie   Bezpieczeństwo luk pomaga nam w zapewnieniu użytkownikom bezpieczeństwa i prywatności. 

1. Wytyczne ogólne

Bentley Systems wymaga, aby wszyscy badacze:

  • Podczas testów zabezpieczeń unikali naruszania prywatności, pogarszania komfortu pracy użytkowników, zakłóceń w systemach produkcyjnych i niszczenia danych.
  • Prowadzili badania wyłącznie w zakresie wskazanym poniżej.
  • Przekazywali nam raporty o lukach w zabezpieczeniach przy użyciu kanałów komunikacji określonych poniżej.
  • Do czasu wyeliminowania wykrytych luk w zabezpieczeniach nie ujawniali ich nikomu poza firmą Bentley Systems.
Zobowiązujemy się do tego, że jeśli badacz będzie przestrzegał tych wytycznych, zgłaszając nam problem:
 
  • Nie będziemy podejmować ani wspierać żadnych działań prawnych w związku z badaniami zabezpieczeń prowadzonymi przez tego badacza.
  • Będziemy współpracować z badaczem, aby zrozumieć, na czym polega problem i szybko go wyeliminować.

2. Kodeks postępowania i obowiązki prawne

Uznajemy, że badania luk w zabezpieczeniach prowadzone zgodnie z niniejszymi zasadami:

  • Odbywają się na podstawie upoważnienia, zgodnie z ustawą o oszustwach i nadużyciach popełnianych z wykorzystaniem komputerów (CFAA, Computer Fraud and Abuse Act) (lub podobnymi przepisami krajowymi), i nie będziemy podejmować ani wspierać działań prawnych przeciwko badaczowi z powodu przypadkowych naruszeń tych zasad popełnionych w dobrej wierze.
  • Nie podlegają amerykańskiej ustawie o prawie autorskim w stuleciu cyfrowym (DMCA, Digital Millennium Copyright Act) i nie będziemy wysuwać przeciwko badaczowi roszczeń w związku z obejściem technicznych środków kontroli.
  • Nie podlegają tym ograniczeniom sformułowanym w naszych warunkach, postanowieniach i regulaminach, które zakłócałyby badanie zabezpieczeń, i w ograniczonym zakresie znosimy te ograniczenia w odniesieniu do czynności wykonywanych zgodnie z niniejszymi zasadami.
  • Są zgodne z prawem, korzystne dla ogólnego bezpieczeństwa Internetu i prowadzone w dobrej wierze.

Od badacza oczekuje się, jak zawsze, przestrzegania wszystkich obowiązujących przepisów prawa. Jeśli kiedykolwiek badacz będzie miał wątpliwości co do tego, lub nie będzie pewien, czy prowadzone przez niego badanie zabezpieczeń jest zgodne z niniejszymi zasadami, powinien przed kontynuowaniem badania przesłać zgłoszenie za pośrednictwem jednego z określonych poniżej kanałów komunikacji.

3. W zakresie / poza zakresem badań

ZakresPoza zakresem
  • Wszystkie subdomeny _.bentley.com
  • Wszystkie produkty desktopowe firmy Bentley Systems (tylko CONNECT Edition i późniejsze)
  • Wszystkie aplikacje mobilne firmy Bentley Systems
  • Wszystkie aplikacje i usługi w chmurze firmy Bentley
  • Wszystkie projekty Open Source firmy Bentley (w tym imodeljs.org)
  • Infrastruktura firmy Bentley Systems (VPN, serwer pocztowy, SharePoint, Skype itp.)
  • Spostrzeżenia poczynione podczas testów fizycznych, takich jak próby wejścia do biura (np. niezamknięte drzwi, wejście osoby nieuprawnionej z osobą uprawnioną (tailgating))
  • Spostrzeżenia poczynione przede wszystkim w wyniku inżynierii społecznej (np. phishingu, vishingu)
  • Spostrzeżenia dotyczące aplikacji lub systemów niewymienionych w sekcji „Zakres”
  • Błędy w interfejsie użytkownika, błędy dotyczące doświadczenia użytkownika i błędy pisowni
  • Luki grożące „odmową usługi” (DoS/DDoS) na poziomie sieci
  • Wszelkie usługi utrzymywane przez dostawców będących podmiotami trzecimi i w ramach usług podmiotów trzecich
  • https://www.plaxis.ru
  • https://communities.bentley.com Communities reports should be submitted directly to Telligent.
  • Raporty dotyczące Synchro Academy należy kierować bezpośrednio do Cypher Learning.
  • https://yii.bentley.com/en

4. Kwalifikujące się luki / wyłączenia

Kwalifikujące się lukiWyłączenia
  • Ominięcie kontroli dostępu (podwyższenie uprawnień)
  • Problemy z logiką biznesową
  • Współużytkowanie zasobów między źródłami (CORS)
  • Fałszerstwo żądania międzywitrynowego (CSRF)
  • Skrypty między witrynami (XSS)
  • Przechodzenie przez katalogi
  • Przejmowanie DLL
  • Iniekcja hiperłączy
  • Identyfikacja i uwierzytelnianie
  • Niezabezpieczone bezpośrednie odwołanie do obiektu (IDOR)
  • Otwarte przekierowanie
  • Inne
  • Zdalne wykonanie kodu
  • Błędy w konfiguracji zabezpieczeń
  • Ekspozycja danych wrażliwych
  • Błędy w konfiguracji sesji
  • Iniekcja SQL
  • Przejęcie subdomeny*
  • Problemy z systemem Word-press
  • Publicznie ogłoszone błędy w oprogramowaniu internetowym, w okresie 15 dni przed ich ujawnieniem
  • Spam lub techniki inżynierii społecznej, w tym problemy typu SPF i DKIM
  • XSS przez tego samego użytkownika (Self-XSS) — wymagamy dowodu na możliwość wykorzystania XSS do ataku na innego użytkownika
  • Problemy związane z nagłówkiem X-Frame-Options (clickjacking)
  • Luka dotycząca limitu częstości żądań (chyba że zostanie przedstawiony ważny PoC eksploitu)
  • Włączenie pliku XMLRPC.php prowadzące do ataku DoS
  • Brak flag cookie w plikach cookie innych niż wrażliwe
  • Brak nagłówków zabezpieczeń, który nie prowadzi bezpośrednio do powstania luki (chyba że badacz przedstawi PoC)
  • Header injection (chyba, że można udowodnić, że takie ataki mogą prowadzić do kradzieży danych użytkownika)
  • Ekspozycja wersji (chyba że badacz przedstawi PoC działającego eksploitu).
  • Problemy, których nie można wykorzystać do naruszenia zabezpieczeń, ale które prowadzą do awarii, generowania zrzutu stosu i podobnych wycieków informacji lub zakłóceń stabilności.
  • Odmowa usługi (DoS).
  • Wszelkie problemy występujące tylko w przypadku przestarzałych przeglądarek, platform lub rozwiązań kryptograficznych (tj. TLS BEAST, POODLE itp.).
  • Wszelkie problemy ujawnione w wyniku zautomatyzowanego skanowania, znane publicznie lub takie, na które firma Bentley Systems nie na wpływu (np. Google Analytics itp.).
  • Problemy teoretyczne, które są w praktyce nieistotne.

*Należy zgłaszać wyłącznie, gdy dysponuje się dowodem poprawności koncepcji (PoC) w postaci dwóch zrzutów ekranu ze znacznikami czasu i widoczną subdomeną. Te zrzuty ekranu muszą dowodzić, że subdomena była wolna przez co najmniej jedną godzinę. Narzędzia skanujące często wychwytują krótkie okresy, w których akurat wprowadzane są zmiany dotyczące subdomeny, co może wskazywać na lukę tylko pozornie: rekord DNS jest zaraz potem usuwany. Załączenie zrzutów ekranu pozwoli uniknąć fałszywych zgłoszeń i niepotrzebnej straty czasu badacza oraz naszego zespołu.

Raporty z niepełnym dowodem PoC (jeden znacznik czasu lub brak znacznika) nie będą traktowane jako pierwsze raporty.

Uwaga! Niedozwolony jest dowód PoC polegający na faktycznym przejęciu zgłaszanej subdomeny.

 

5. Sposób zgłaszania

Badacz, który uważa, że znalazł lukę w zabezpieczeniach jednego z naszych produktów lub jednej z naszych platform, powinien wypełnić formularz na tej stronie.

Należy podać następujące informacje:

  • Szczegółowy opis luki zawierający takie informacje, jak adres URL, pełne żądanie/odpowiedź HTTP i typ luki.
  • Informacje potrzebne do odtworzenia problemu.
  • Jeśli ma zastosowanie — zrzut ekranu i/lub klip wideo przedstawiający lukę.
  • Dane kontaktowe, imię i nazwisko, e-mail, numer telefonu, lokalizację. Zgłoszenia bez tych informacji nie będą brane pod uwagę.
  • WAŻNA UWAGA. Za pośrednictwem formularza można dokonywać tylko pierwszych zgłoszeń. W razie pytań nieujętych w formularzu prosimy skontaktować się z nami e-mailowo pod adresem [e-mail chroniony].

6. Reguły testowania zabezpieczeń

  • Bezwzględnie zabronione są ataki typu „odmowa usługi” (DoS).
  • Bezwzględnie zabronione są wszelkie formy ataków siłowych w celu odkrycia poświadczeń.
  • Zabronione jest publiczne ujawniane zgłaszanej luki zanim zostanie ona wyeliminowana.
  • Badaczowi nie wolno przerywać ani pogarszać działania naszych systemów ani naruszać prywatności naszych użytkowników bądź integralności ich danych.
  • Wykorzystywanie luk (w celu innym niż uzyskanie ogólnego dowodu poprawności koncepcji (PoC)) jest bezwzględnie zabronione i będzie ścigane zgodnie z mającym zastosowanie prawem.
  • Jeśli luka w zabezpieczeniach umożliwia niezamierzony dostęp do danych, badacz ma obowiązek:
    • ograniczyć ilość danych, do których uzyskuje dostęp, do minimum niezbędnego do skutecznego dowiedzenia poprawności koncepcji (PoC); oraz
    • zaprzestać testowania; oraz
    • natychmiast wysłać raport w razie napotkania podczas testowania jakichkolwiek danych użytkowników, takich jak informacje umożliwiające identyfikację osób (PII, Personally Identifiable Information), informacje medyczne dotyczące osób (PHI, Personal Healthcare Information), dane kart kredytowych lub informacje
      zastrzeżone.
  • Firma Bentley nie będzie odpowiadać na próby wymuszenia lub inne działania przestępcze o podobnym charakterze (np. żądania zapłaty z góry w zamian za niewykorzystanie znalezionej luki).

7. Publiczne ujawnianie

Prosimy wstrzymać się przez 90 dni z ujawnianiem publicznym luki, chyba że nasz zespół wcześniej poinformuje o jej wyeliminowaniu. Ujawnienie luki z naruszeniem tego ograniczenia spowoduje podjęcie działań prawnych.

8. Duplikaty

Zgodnie z niniejszymi zasadami rozpatrywany będzie udział w programie wyłącznie pierwszego badacza, który zgłosi problem lub podobne problemy. Dotyczy to także zgłoszeń tego samego problemu w różnych środowiskach (np. programistycznym, testowym, produkcyjnym).

9. Wstępna kwalifikacja luk w zabezpieczeniach

Po otrzymaniu zgłoszenia:

  • Zgłoszona luka zostanie przeanalizowana.
  • Jeśli uznamy, że zgłoszenie jest uzasadnione i spełnia wymagania określone w niniejszych zasadach, być może badacz będzie mógł otrzymać wynagrodzenie.
  • Badacz zostanie poinformowany o wyeliminowaniu problemu.

10. Wynagrodzenie

Przykłady luk w zabezpieczeniachPrzedział cen (USD)**
Ominięcie kontroli dostępu (podwyższenie uprawnień)250–450
Problemy z logiką biznesową100–300
Współużytkowanie zasobów między źródłami (CORS)100–200
Fałszerstwo żądania międzywitrynowego (CSRF)150–250
Skrypty między witrynami (XSS)100–200
Przejmowanie DLL50
Iniekcja hiperłączy50
Identyfikacja i uwierzytelnianie250–450
Niezabezpieczone bezpośrednie odwołanie do obiektu (IDOR)250–450
Otwarte przekierowanie50–150
Inne0–500
Zdalne wykonanie kodu600
Błędy w konfiguracji zabezpieczeń50–250
Ekspozycja danych wrażliwych50–200
Secrets leak200–500
Błędy w konfiguracji sesji50–200
Iniekcja SQL250–500
 
Zgłoszenia luk w zabezpieczeniach od użytkowników Bentley Systems zostaną rozpatrzone; jednak użytkownicy nie kwalifikują się do nagród finansowych zgodnie z zasadami Programu odpowiedzialnego ujawniania informacji.

Raporty przesłane przez podmioty komercyjne lub osoby przeprowadzające formalne/komercyjne testy bezpieczeństwa w imieniu użytkowników Bentley Systems również nie kwalifikują się do nagród finansowych.

**Za więcej niż jedno wystąpienie tego samego problemu przysługuje wynagrodzenie nieprzekraczające 3-krotności ceny.

**Zgłoszenia tego samego problemu w różnych środowiskach produktu (programistycznym, testowym, produkcyjnym) będą liczone jako jedno.

Zastrzegamy sobie prawo do zmiany niniejszych zasad w dowolnym momencie i z dowolnej przyczyny, a ponadto nie możemy zagwarantować wynagrodzenia za wszystkie raporty. Wynagrodzenie jest wypłacane wyłącznie za pośrednictwem serwisu PayPal. 

WAŻNE. Należy wysłać wyłącznie ważny adres do płatności PayPal: płatności nie będą wykonywane na adresy inne niż oryginalny. Jeśli z jakiegokolwiek powodu transakcja nie powiedzie się (tj. PayPal odrzuci transakcję; bank docelowy nie przyjmie płatności; nastąpi przekroczenie limitu kwoty, płatność będzie przyjmowana tylko przez witrynę internetową lub zgodnie z inną procedurą itp.), płatność zostanie anulowana i nie zostanie powtórnie zlecona.

Bentley Systems zastrzega sobie prawo do zakończenia prowadzenia Programu odpowiedzialnego ujawniania informacji oraz związanego z nim systemu płatności — w dowolnym czasie i bez zapowiedzi.

Wyślij raport

Spis treści

Bentley Systems wymaga, aby wszyscy badacze:

  • Podczas testów zabezpieczeń unikali naruszania prywatności, pogarszania komfortu pracy użytkowników, zakłóceń w systemach produkcyjnych i niszczenia danych.
  • Prowadzili badania wyłącznie w zakresie wskazanym poniżej.
  • Przekazywali nam raporty o lukach w zabezpieczeniach przy użyciu kanałów komunikacji określonych poniżej.
  • Do czasu wyeliminowania wykrytych luk w zabezpieczeniach nie ujawniali ich nikomu poza firmą Bentley Systems.
Zobowiązujemy się do tego, że jeśli badacz będzie przestrzegał tych wytycznych, zgłaszając nam problem:
 
  • Nie będziemy podejmować ani wspierać żadnych działań prawnych w związku z badaniami zabezpieczeń prowadzonymi przez tego badacza.
  • Będziemy współpracować z badaczem, aby zrozumieć, na czym polega problem i szybko go wyeliminować.

Uznajemy, że badania luk w zabezpieczeniach prowadzone zgodnie z niniejszymi zasadami:

  • Odbywają się na podstawie upoważnienia, zgodnie z ustawą o oszustwach i nadużyciach popełnianych z wykorzystaniem komputerów (CFAA, Computer Fraud and Abuse Act) (lub podobnymi przepisami krajowymi), i nie będziemy podejmować ani wspierać działań prawnych przeciwko badaczowi z powodu przypadkowych naruszeń tych zasad popełnionych w dobrej wierze.
  • Nie podlegają amerykańskiej ustawie o prawie autorskim w stuleciu cyfrowym (DMCA, Digital Millennium Copyright Act) i nie będziemy wysuwać przeciwko badaczowi roszczeń w związku z obejściem technicznych środków kontroli.
  • Nie podlegają tym ograniczeniom sformułowanym w naszych warunkach, postanowieniach i regulaminach, które zakłócałyby badanie zabezpieczeń, i w ograniczonym zakresie znosimy te ograniczenia w odniesieniu do czynności wykonywanych zgodnie z niniejszymi zasadami.
  • Są zgodne z prawem, korzystne dla ogólnego bezpieczeństwa Internetu i prowadzone w dobrej wierze.

Od badacza oczekuje się, jak zawsze, przestrzegania wszystkich obowiązujących przepisów prawa. Jeśli kiedykolwiek badacz będzie miał wątpliwości co do tego, lub nie będzie pewien, czy prowadzone przez niego badanie zabezpieczeń jest zgodne z niniejszymi zasadami, powinien przed kontynuowaniem badania przesłać zgłoszenie za pośrednictwem jednego z określonych poniżej kanałów komunikacji.

Zakres
  • Wszystkie subdomeny _.bentley.com
  • Wszystkie produkty desktopowe firmy Bentley Systems (tylko CONNECT Edition i późniejsze)
  • Wszystkie aplikacje mobilne firmy Bentley Systems
  • Wszystkie aplikacje i usługi w chmurze firmy Bentley
  • Wszystkie projekty Open Source firmy Bentley (w tym imodeljs.org)
Poza zakresem
Kwalifikujące się luki
  • Ominięcie kontroli dostępu (podwyższenie uprawnień)
  • Problemy z logiką biznesową
  • Współużytkowanie zasobów między źródłami (CORS)
  • Fałszerstwo żądania międzywitrynowego (CSRF)
  • Skrypty między witrynami (XSS)
  • Przechodzenie przez katalogi
  • Przejmowanie DLL
  • Iniekcja hiperłączy
  • Identyfikacja i uwierzytelnianie
  • Niezabezpieczone bezpośrednie odwołanie do obiektu (IDOR)
  • Otwarte przekierowanie
  • Inne
  • Zdalne wykonanie kodu
  • Błędy w konfiguracji zabezpieczeń
  • Ekspozycja danych wrażliwych
  • Błędy w konfiguracji sesji
  • Iniekcja SQL
  • Przejęcie subdomeny*
  • Problemy z systemem Word-press
Wyłączenia
  • Publicznie ogłoszone błędy w oprogramowaniu internetowym, w okresie 15 dni przed ich ujawnieniem
  • Spam lub techniki inżynierii społecznej, w tym problemy typu SPF i DKIM
  • XSS przez tego samego użytkownika (Self-XSS) — wymagamy dowodu na możliwość wykorzystania XSS do ataku na innego użytkownika
  • Problemy związane z nagłówkiem X-Frame-Options (clickjacking)
  • Luka dotycząca limitu częstości żądań (chyba że zostanie przedstawiony ważny PoC eksploitu)
  • Włączenie pliku XMLRPC.php prowadzące do ataku DoS
  • Brak flag cookie w plikach cookie innych niż wrażliwe
  • Brak nagłówków zabezpieczeń, który nie prowadzi bezpośrednio do powstania luki (chyba że badacz przedstawi PoC)
  • Iniekcja nagłówka (chyba że badacz wykaże, jak może doprowadzić do kradzieży danych użytkownika)
  • Ekspozycja wersji (chyba że badacz przedstawi PoC działającego eksploitu).
  • Problemy, których nie można wykorzystać do naruszenia zabezpieczeń, ale które prowadzą do awarii, generowania zrzutu stosu i podobnych wycieków informacji lub zakłóceń stabilności.
  • Odmowa usługi (DoS).
  • Wszelkie problemy występujące tylko w przypadku przestarzałych przeglądarek, platform lub rozwiązań kryptograficznych (tj. TLS BEAST, POODLE itp.).
  • Wszelkie problemy ujawnione w wyniku zautomatyzowanego skanowania, znane publicznie lub takie, na które firma Bentley Systems nie na wpływu (np. Google Analytics itp.).
  • Problemy teoretyczne, które są w praktyce nieistotne.

*Należy zgłaszać wyłącznie, gdy dysponuje się dowodem poprawności koncepcji (PoC) w postaci dwóch zrzutów ekranu ze znacznikami czasu i widoczną subdomeną. Te zrzuty ekranu muszą dowodzić, że subdomena była wolna przez co najmniej jedną godzinę. Narzędzia skanujące często wychwytują krótkie okresy, w których akurat wprowadzane są zmiany dotyczące subdomeny, co może wskazywać na lukę tylko pozornie: rekord DNS jest zaraz potem usuwany. Załączenie zrzutów ekranu pozwoli uniknąć fałszywych zgłoszeń i niepotrzebnej straty czasu badacza oraz naszego zespołu.

Raporty z niepełnym dowodem PoC (jeden znacznik czasu lub brak znacznika) nie będą traktowane jako pierwsze raporty.

Uwaga! Niedozwolony jest dowód PoC polegający na faktycznym przejęciu zgłaszanej subdomeny.

Badacz, który uważa, że znalazł lukę w zabezpieczeniach jednego z naszych produktów lub jednej z naszych platform, powinien wypełnić formularz na tej stronie.

Należy podać następujące informacje:

  • Szczegółowy opis luki zawierający takie informacje, jak adres URL, pełne żądanie/odpowiedź HTTP i typ luki.
  • Informacje potrzebne do odtworzenia problemu.
  • Jeśli ma zastosowanie — zrzut ekranu i/lub klip wideo przedstawiający lukę.
  • Dane kontaktowe, imię i nazwisko, e-mail, numer telefonu, lokalizację. Zgłoszenia bez tych informacji nie będą brane pod uwagę.
  • WAŻNA UWAGA. Za pośrednictwem formularza można dokonywać tylko pierwszych zgłoszeń. W razie pytań nieujętych w formularzu prosimy skontaktować się z nami e-mailowo pod adresem [e-mail chroniony].
  • Bezwzględnie zabronione są ataki typu „odmowa usługi” (DoS).
  • Bezwzględnie zabronione są wszelkie formy ataków siłowych w celu odkrycia poświadczeń.
  • Zabronione jest publiczne ujawniane zgłaszanej luki zanim zostanie ona wyeliminowana.
  • Badaczowi nie wolno przerywać ani pogarszać działania naszych systemów ani naruszać prywatności naszych użytkowników bądź integralności ich danych.
  • Wykorzystywanie luk (w celu innym niż uzyskanie ogólnego dowodu poprawności koncepcji (PoC)) jest bezwzględnie zabronione i będzie ścigane zgodnie z mającym zastosowanie prawem.
  • Jeśli luka w zabezpieczeniach umożliwia niezamierzony dostęp do danych, badacz ma obowiązek:
    • ograniczyć ilość danych, do których uzyskuje dostęp, do minimum niezbędnego do skutecznego dowiedzenia poprawności koncepcji (PoC); oraz
    • zaprzestać testowania; oraz
    • natychmiast wysłać raport w razie napotkania podczas testowania jakichkolwiek danych użytkowników, takich jak informacje umożliwiające identyfikację osób (PII, Personally Identifiable Information), informacje medyczne dotyczące osób (PHI, Personal Healthcare Information), dane kart kredytowych lub informacje
      zastrzeżone.
  • Firma Bentley nie będzie odpowiadać na próby wymuszenia lub inne działania przestępcze o podobnym charakterze (np. żądania zapłaty z góry w zamian za niewykorzystanie znalezionej luki).

Prosimy wstrzymać się przez 90 dni z ujawnianiem publicznym luki, chyba że nasz zespół wcześniej poinformuje o jej wyeliminowaniu. Ujawnienie luki z naruszeniem tego ograniczenia spowoduje podjęcie działań prawnych.

Zgodnie z niniejszymi zasadami rozpatrywany będzie udział w programie wyłącznie pierwszego badacza, który zgłosi problem lub podobne problemy. Dotyczy to także zgłoszeń tego samego problemu w różnych środowiskach (np. programistycznym, testowym, produkcyjnym).

Po otrzymaniu zgłoszenia:

  • Zgłoszona luka zostanie przeanalizowana.
  • Jeśli uznamy, że zgłoszenie jest uzasadnione i spełnia wymagania określone w niniejszych zasadach, być może badacz będzie mógł otrzymać wynagrodzenie.
  • Badacz zostanie poinformowany o wyeliminowaniu problemu.
Przykłady luk w zabezpieczeniach Przedział cen (USD)**
Ominięcie kontroli dostępu (podwyższenie uprawnień) 200–400
Problemy z logiką biznesową 100–300
Współużytkowanie zasobów między źródłami (CORS) 100–200
Fałszerstwo żądania międzywitrynowego (CSRF) 100–200
Skrypty między witrynami (XSS) 50–150
Przechodzenie przez katalogi 100–200
Przejmowanie DLL 100–200
Iniekcja hiperłączy 50
Identyfikacja i uwierzytelnianie 200–400
Niezabezpieczone bezpośrednie odwołanie do obiektu (IDOR) 200–400
Otwarte przekierowanie 50–150
Inne 0–500
Zdalne wykonanie kodu 500
Błędy w konfiguracji zabezpieczeń 50–200
Ekspozycja danych wrażliwych 50–500
Błędy w konfiguracji sesji 50–150
Iniekcja SQL 200–400
**Za więcej niż jedno wystąpienie tego samego problemu przysługuje wynagrodzenie nieprzekraczające 3-krotności ceny.

**Zgłoszenia tego samego problemu w różnych środowiskach produktu (programistycznym, testowym, produkcyjnym) będą liczone jako jedno.

Zastrzegamy sobie prawo do zmiany niniejszych zasad w dowolnym momencie i z dowolnej przyczyny, a ponadto nie możemy zagwarantować wynagrodzenia za wszystkie raporty. Wynagrodzenie jest wypłacane wyłącznie za pośrednictwem serwisu PayPal. 

WAŻNE. Należy wysłać wyłącznie ważny adres do płatności PayPal: płatności nie będą wykonywane na adresy inne niż oryginalny. Jeśli z jakiegokolwiek powodu transakcja nie powiedzie się (tj. PayPal odrzuci transakcję; bank docelowy nie przyjmie płatności; nastąpi przekroczenie limitu kwoty, płatność będzie przyjmowana tylko przez witrynę internetową lub zgodnie z inną procedurą itp.), płatność zostanie anulowana i nie zostanie powtórnie zlecona.

Bentley Systems zastrzega sobie prawo do zakończenia prowadzenia Programu odpowiedzialnego ujawniania informacji oraz związanego z nim systemu płatności — w dowolnym czasie i bez zapowiedzi.

Celebrate Infrastructure Delivery & Performance Excellence

Konferencja Year in Infrastructure i gala konkursu Going Digital Awards 2024

Nominate a project for the most prestigious awards in infrastructure! Extended deadline to enter is April 29th.