РЕГИСТРАЦИЯ
TILDA PUBLISHING

Программа Bug Bounty Tilda

~
1. Общая информация
Мы активно сотрудничаем с исследователями и выплачиваем вознаграждение за нахождение уязвимостей на платформе Tilda, а также в связанных модулях и микросервисах.

Ниже — подробные условия программы и информация о том, как заявить о проблеме.
2. Область действия программы
2.1. В рамках программы
В рамках программы рассматриваются уязвимости в сервисах и веб-приложениях, принадлежащих Tilda.
Допускается проведение исследований:
  • с использованием исключительно собственных аккаунтов;
  • в пределах функциональности, доступной пользователю соответствующего тарифного плана;
  • без нарушения работоспособности production-систем.
При необходимости тестирования расширенной функциональности допускается использование 14-дневного пробного периода Pro.
2.2. Вне области программы
Не рассматриваются клиентские сайты, а также уязвимости в сторонних сервисах и интеграциях (платёжные системы, службы доставки, сторонние формы и пр.) — даже если они подключены к Тильде.
Исключение составляют случаи, когда уязвимость находится на стороне Тильды: например, некорректная передача данных, утечка чувствительной информации в запросах или ошибки в логике интеграции, реализованной нами.
Также не рассматриваются следующие категории отчётов:
  • Self-XSS и любые XSS в редакторе;
  • DoS/DDoS-атаки;
  • Brute Force-атаки без доказательства обхода механизмов защиты;
  • CSV Injection;
  • Недостатки password policy без возможности обхода аутентификации;
  • CSRF на незначимых действиях (например, logout);
  • Clickjacking без подтверждённого влияния на безопасность;
  • Отсутствие отдельных защитных механизмов или заголовков без доказанного практического воздействия;
  • Недостатки конфигурации SSL/TLS;
  • Результаты автоматических сканеров без воспроизводимого Proof-of-Concept;
  • Раскрытие информации, не являющейся чувствительной (например, версии программного обеспечения);
  • Уязвимости, основанные исключительно на использовании устаревших версий ПО;
  • Социальная инженерия;
  • Отчёты без демонстрации реального влияния на безопасность;
  • Регистрация на чужие / несуществующие почты без подтверждения email.
3. Приоритетные категории уязвимостей
Наибольший приоритет имеют уязвимости, влияющие на конфиденциальность, целостность и доступность данных, включая:
  • Server-Side Code Execution;
  • SQL Injection;
  • Authentication / Authorization Bypass;
  • Broken Access Control;
  • Server-Side Request Forgery к внутренним сервисам;
  • Cross-Site Scripting (при наличии воздействия на других пользователей);
  • Cross-Site Request Forgery на чувствительных действиях;
  • Unrestricted File Upload;
  • Утечку чувствительной информации;
  • Критичные логические ошибки (business logic flaws), приводящие к несанкционированному доступу или эскалации привилегий.
4. Запреты и ограничения
В рамках программы запрещается:
  • осуществлять действия, которые могут привести к нарушению работоспособности Платформы или негативно повлиять на пользователей Платформы и иных третьих лиц;
  • осуществлять несанкционированный доступ к аккаунтам пользователей Платформы;
  • проводить массовую автоматизированную эксплуатацию;
  • использовать социальную инженерию;
  • выходить за пределы минимально необходимой эксплуатации для подтверждения уязвимости;
  • публиковать Proof-of-Concept до устранения уязвимости и получения разрешения от команды безопасности Tilda;
  • публично раскрывать информацию об уязвимости без согласования с Tilda;
  • разглашать персональные данные, полученные в ходе исследования.
Отправляя отчёт, исследователь подтверждает согласие соблюдать условия настоящей программы.
5. Порядок подачи отчёта
Если вы нашли уязвимость, напишите нам на: bugbounty@tilda.by
Тема письма:
Bug Bounty Report – [Краткое описание уязвимости]
Отчёт должен содержать:
  1. Затронутый сервис или модуль;
  2. Тип уязвимости;
  3. Описание потенциального воздействия;
  4. Пошаговое описание воспроизведения;
  5. Proof-of-Concept (при необходимости);
  6. Рекомендации по устранению (при наличии).
Отчёты без воспроизводимых шагов могут быть отклонены.
Средний срок первичного ответа — 1 рабочий день.
6. Классификация уязвимостей и вознаграждение
Классификация и уровень критичности выявленной уязвимости определяются на основе Bugcrowd Vulnerability Rating Taxonomy (VRT).

При финальной оценке также учитываются:
  • фактическое влияние на конфиденциальность, целостность и доступность данных;
  • реальный сценарий эксплуатации;
  • сложность и воспроизводимость атаки;
  • масштаб потенциального воздействия;
  • наличие смягчающих факторов или ограничений.
Размер вознаграждения определяется исходя из установленной классификации и находится в диапазоне от $25 до $3000 — на уровне выплат ведущих Bug Bounty платформ, таких как HackerOne и Bugcrowd.

Вознаграждение выплачивается только за первый корректный и валидный отчёт по конкретной уязвимости.

Окончательное решение о классификации уязвимости и размере выплаты принимается командой безопасности Tilda на основе установленных критериев.
7. Контактная информация
Для отправки отчётов об уязвимостях:
bugbounty@tilda.by
По иным вопросам:
team@tilda.by
Публичная оферта
Made on
Tilda