Безопасность

Ответственное раскрытие уязвимостей

Мы ценим работу исследователей безопасности и считаем добросовестный поиск уязвимостей важной частью защиты наших игроков. Если вы нашли проблему безопасности в Meme-Senate, мы будем признательны за сообщение о ней ответственно — до публичного раскрытия и в рамках правил ниже.

1. В scope

Мы рассматриваем сообщения, касающиеся:

  • сайта meme-senate.ru и его публичных страниц;
  • игрового WebSocket-соединения и логики игровых комнат;
  • API сервиса;
  • авторизации, сессий и управления аккаунтом.

2. Вне scope

Мы не рассматриваем как уязвимости и просим не присылать:

  • атаки на доступность (DoS/DDoS, нагрузочное и стресс-тестирование);
  • спам, рассылки и flood;
  • социальную инженерию сотрудников и игроков;
  • физический доступ к устройствам и инфраструктуре;
  • атаки на сторонние сервисы (Gcore, smtp.bz, Discord и другие);
  • уже известные или публично описанные проблемы;
  • self-XSS и сценарии, требующие полного контроля над устройством жертвы;
  • отсутствие best-practice без демонстрации реального воздействия (например, отсутствие отдельного security-заголовка без подтверждённого импакта).

3. Правила исследования

Чтобы исследование считалось добросовестным, придерживайтесь правил:

  • используйте только собственные тестовые аккаунты;
  • не получайте доступ к чужим данным, аккаунтам и комнатам и не изменяйте их;
  • не раскрывайте и не публикуйте найденное до выпуска исправления;
  • не нарушайте работу продакшена и не мешайте другим игрокам;
  • не используйте найденное для вымогательства или иного давления.

4. Как сообщить

Напишите нам в Telegram @memesenate или на security@meme-senate.ru. Чтобы мы быстрее разобрались, по возможности приложите:

  • шаги воспроизведения;
  • proof-of-concept (запрос, скрипт, скриншот или видео);
  • оценку влияния — что именно позволяет сделать уязвимость;
  • окружение (браузер, версия, время и условия воспроизведения).

Мы стараемся отвечать в течение нескольких рабочих дней и держать вас в курсе хода исправления.

5. Награды

Фиксированной денежной программы вознаграждений у нас пока нет — это инди-проект, и мы говорим об этом честно. За подтверждённые уязвимости мы благодарим исследователя, по его желанию упоминаем в зале славы и в знак признательности предоставляем премиум-подписку (тариф зависит от серьёзности находки). Итоговое решение принимается на усмотрение команды.

6. Safe harbor

Добросовестное исследование, проведённое в рамках настоящих правил, мы считаем разрешённым и не инициируем по нему юридических претензий. Если вы действовали добросовестно, но непреднамеренно нарушили какие-либо условия, мы будем учитывать ваши намерения при оценке ситуации. Свяжитесь с нами до того, как предпринимать любые потенциально рискованные действия.

Зал славы

Пока пусто. Будь первым.