We use cookies to provide you with a better user experience and measure our advertising performance. For more details, see the Cookie Policy.
Cookie settings
Cookies necessary for the website's correct operation are always enabled.
Other cookies are configurable.
Essential cookies
Always Enabled
Always On. These cookies are essential so that you can use the website and use its functions. They cannot be turned off. They're set in response to requests made by you, such as setting your privacy preferences, logging in or filling in forms.
Analytics cookies
Disabled
These cookies collect information to help us understand how our websites are used or how effective our marketing campaigns are, and how we can customize our websites for you. See the list of the analytics cookies we use here.
Advertising cookies
Disabled
These cookies provide advertising companies with information about your online activity to help them deliver more relevant online advertising to you or to limit how many times you see an ad. This information may be shared with other advertising companies.
Functional cookies
Disabled
These cookies save the settings of the website visitors, users, and their representatives in order to track the promo campaign performance.
Ok
РЕГИСТРАЦИЯ
TILDA PUBLISHING

Программа Bug Bounty Tilda

~
1. Общая информация
Мы активно сотрудничаем с исследователями и выплачиваем вознаграждение за нахождение уязвимостей на платформе Tilda, а также в связанных модулях и микросервисах.

Ниже — подробные условия программы и информация о том, как заявить о проблеме.
2. Область действия программы
2.1. В рамках программы
В рамках программы рассматриваются уязвимости в сервисах и веб-приложениях, принадлежащих Tilda.
Допускается проведение исследований:
  • с использованием исключительно собственных аккаунтов;
  • в пределах функциональности, доступной пользователю соответствующего тарифного плана;
  • без нарушения работоспособности production-систем.
При необходимости тестирования расширенной функциональности допускается использование 14-дневного пробного периода Pro.
2.2. Вне области программы
Не рассматриваются клиентские сайты, а также уязвимости в сторонних сервисах и интеграциях (платёжные системы, службы доставки, сторонние формы и пр.) — даже если они подключены к Тильде.
Исключение составляют случаи, когда уязвимость находится на стороне Тильды: например, некорректная передача данных, утечка чувствительной информации в запросах или ошибки в логике интеграции, реализованной нами.
Также не рассматриваются следующие категории отчётов:
  • Self-XSS и любые XSS в редакторе;
  • DoS/DDoS-атаки;
  • Brute Force-атаки без доказательства обхода механизмов защиты;
  • CSV Injection;
  • Недостатки password policy без возможности обхода аутентификации;
  • CSRF на незначимых действиях (например, logout);
  • Clickjacking без подтверждённого влияния на безопасность;
  • Отсутствие отдельных защитных механизмов или заголовков без доказанного практического воздействия;
  • Недостатки конфигурации SSL/TLS;
  • Результаты автоматических сканеров без воспроизводимого Proof-of-Concept;
  • Раскрытие информации, не являющейся чувствительной (например, версии программного обеспечения);
  • Уязвимости, основанные исключительно на использовании устаревших версий ПО;
  • Социальная инженерия;
  • Отчёты без демонстрации реального влияния на безопасность.
3. Приоритетные категории уязвимостей
Наибольший приоритет имеют уязвимости, влияющие на конфиденциальность, целостность и доступность данных, включая:
  • Server-Side Code Execution;
  • SQL Injection;
  • Authentication / Authorization Bypass;
  • Broken Access Control;
  • Server-Side Request Forgery к внутренним сервисам;
  • Cross-Site Scripting (при наличии воздействия на других пользователей);
  • Cross-Site Request Forgery на чувствительных действиях;
  • Unrestricted File Upload;
  • Утечку чувствительной информации;
  • Критичные логические ошибки (business logic flaws), приводящие к несанкционированному доступу или эскалации привилегий.
4. Запреты и ограничения
В рамках программы запрещается:
  • осуществлять действия, которые могут привести к нарушению работоспособности Платформы или негативно повлиять на пользователей Платформы и иных третьих лиц;
  • осуществлять несанкционированный доступ к аккаунтам пользователей Платформы;
  • проводить массовую автоматизированную эксплуатацию;
  • использовать социальную инженерию;
  • выходить за пределы минимально необходимой эксплуатации для подтверждения уязвимости;
  • публиковать Proof-of-Concept до устранения уязвимости и получения разрешения от команды безопасности Tilda;
  • публично раскрывать информацию об уязвимости без согласования с Tilda;
  • разглашать персональные данные, полученные в ходе исследования.
Отправляя отчёт, исследователь подтверждает согласие соблюдать условия настоящей программы.
5. Порядок подачи отчёта
Если вы нашли уязвимость, напишите нам на: bugbounty@tilda.cc
Тема письма:
Bug Bounty Report – [Краткое описание уязвимости]
Отчёт должен содержать:
  1. Затронутый сервис или модуль;
  2. Тип уязвимости;
  3. Описание потенциального воздействия;
  4. Пошаговое описание воспроизведения;
  5. Proof-of-Concept (при необходимости);
  6. Рекомендации по устранению (при наличии).
Отчёты без воспроизводимых шагов могут быть отклонены.
Средний срок первичного ответа — 1 рабочий день.
6. Классификация уязвимостей и вознаграждение
Классификация и уровень критичности выявленной уязвимости определяются на основе Bugcrowd Vulnerability Rating Taxonomy (VRT).

При финальной оценке также учитываются:
  • фактическое влияние на конфиденциальность, целостность и доступность данных;
  • реальный сценарий эксплуатации;
  • сложность и воспроизводимость атаки;
  • масштаб потенциального воздействия;
  • наличие смягчающих факторов или ограничений.
Размер вознаграждения определяется исходя из установленной классификации и находится в диапазоне от $25 до $3000 — на уровне выплат ведущих Bug Bounty платформ, таких как HackerOne и Bugcrowd.

Вознаграждение выплачивается только за первый корректный и валидный отчёт по конкретной уязвимости.

Окончательное решение о классификации уязвимости и размере выплаты принимается командой безопасности Tilda на основе установленных критериев.
7. Контактная информация
Для отправки отчётов об уязвимостях:
bugbounty@tilda.cc
По иным вопросам:
team@tilda.cc
Публичная оферта
Made on
Tilda