Bug Bounty — это программа, в рамках которой людям выплачивается вознаграждения за обнаружение уязвимостей и багов в работе веб-сайта или инфраструктуре. Дословный перевод Bag – ошибка, Bounty вознаграждение.
В обмен на сообщения об уязвимостях люди получают вознаграждение, размер которого зависит от серьезности найденного бага и его потенциального влияния.
За что можно получить вознаграждение:
- Ошибки функционала: что-то на сайте работает не так как задумано. Не работает какая-то кнопка или функция. Ошибки при заполнении форм или использовании сайта.
- Ошибки отображения, дизайн: например, в браузере расползлись элементы оформления (мобильная версия или ПК). Старые браузеры в программе не участвуют, не нужно вспоминать что такое Internet Explorer 6 и т.п.
Если Вы нашли критическую уязвимость в функционале сайта, в серверном ПО, доступ к персональным данным пользователей, файлам и т.п. Вы можете рассчитывать на денежное вознаграждение, согласовывается при личном обсуждении.
Если Вы нашли мелкие проблемы в работе сайта, Вы можете рассчитывать на вознаграждение в виде рейтинга на скачивание файлов.
Для того чтобы сообщить о найденной ошибке используйте форму обратной связи.
Не нужно распространять информацию о найденной уязвимости до ее исправления. Раскрытие уязвимости происходит при общем согласии администрации сайта и участника программы.
Используйте только личные аккаунты и адреса почты.
Чем подробнее описана уязвимость или ошибка - тем быстрее она будет обнаружена и исправлена. Наиболее полный отчет может претендовать на повышенное вознаграждение. Указывайте какой браузер используете, дополнительные расширения, операционную систему. Пример Google Chrome версия 131.0.6778.139 (Официальная сборка), (64 бит), Windows 11 Pro 24H2. Дополнения установленные на браузер могут вызывать проблемы, поэтому их тоже нужно указывать. Например известные проблемы Internet Download Manager (IDM) перехватывая закачку файла в браузере и может его повредить, плагины блокировки по типу AdBlock могут скрывать часть контента не относящегося к рекламе. Мы не можем повлиять на работу сторонних приложений, но знать о проблеме значит понимать как ее решить.
Запрещено использовать деструктивные/агресивные проверки и причинять вред сервисам и пользователям.