Багхантеры (bughunter)bug bountyвознаграждение исследователей безопасности за обнаруженные уязвимости

В чем плюсы Bug Bounty?

Если программы подобного рода получают широкое распространение, значит, они имеют немало достоинств, так? В целом да. Во-первых, экономическая сторона вопроса. Привлекать внешних исследователей может быть дешевле, чем содержать штат своих. За те деньги, что выплачиваются участникам Bug Bounty, можно получить информацию об уязвимостях такого объема, который зачастую нельзя ожидать от штатных специалистов. При этом, конечно, не стоит забывать, что сотрудники, которые проверяют репорты и принимают решения о выплате вознаграждения, должны обладать достойным уровнем знаний и уметь отделять зерна от плевел среди поступающей информации.

В числе внешних исследователей к тому же может оказаться и какой-нибудь высококлассный специалист, который парой своих находок и репортов сэкономит огромное количество денег, нервов, сил и времени, но которого по тем или иным причинам компания не в состоянии нанять в качестве сотрудника.

Важна также скорость и эффективность выявления уязвимостей. Если в штате компании таких специалистов пять-десять, а Bug Bounty подключает к работе над вашим продуктом сразу еще человек пятьдесят-сто, то наверняка работа пойдет быстрее и результативнее.

Понятно, что у таких программ есть и минусы. Информация о выявленных уязвимостях может оказаться в общем доступе до того, как их залатают. Однако не будем на этом останавливаться, так как цель статьи — рассмотреть Bug Bounty с юридической стороны, а не с экономической или организационной.

Avast Bug Bounty Program

Language: C++Bounty: $400 USD (Minimum) – $10,000 or More (Maximum)

Avast is a widely recognized anti-virus company providing security solutions for Windows, Mac, Android and Linux users. But even their application is not vulnerability-free. Avast has a designed a protocol to reward ethical hackers and security researchers. All bugs, preferably in encrypted mail form, can be submitted to bugs@avast.com.

Remote code execution vulnerabilities have been defined by Avast as the most critical bugs and can amount of a bounty of $10,000 USD or above. Avast is also urging researchers to expose ways to crash the AvastSvc.exe via Denial-of-service (DoS) attacks. Submissions from Iran, Syria, Cuba, North Korea and Sudan are not accepted.

Какие риски у Bug Bounty как конкурса?

Думаю, ты уже понял, что в отличие от модели с офертой участник конкурса не может просто так взять и заслать организатору свой вариант правил

Ты можешь попытаться, но это будет лишь пожеланием, которое организатор может (но не обязан) принять во внимание

Поэтому если ты ловец уязвимостей и нашел себе подходящий конкурс Bug Bounty, то имей в виду, что следует внимательно ознакомиться с конкурсной документацией, чтобы ясно представлять, какие действия будут допустимы, а какие — нет.

Помни и о том, что организатор конкурса может изменить правила. Поэтому, если твое участие влечет определенные расходы, внимательно следи за изменениями. Если условия вдруг стали невыгодными, есть возможность получить возмещение расходов.

Не стоит забывать и о налогах. Если тебе удалось выиграть в конкурсе, выясни у организатора, облагается ли приз налогом, какого он размера и надо ли будет тебе выплачивать его самостоятельно. Иначе есть риск после победы получить не только приз, но и через какое-то время уведомление от налоговой о штрафе.

И конечно, если в условиях конкурса указано, что участник не может раскрывать информацию о найденных уязвимостях раньше времени, то следует придерживаться этого правила. Если ты его проигнорируешь, то велика вероятность, что твои результаты будут аннулированы, а в худшем случае тебя еще и привлекут к ответственности — в частности, за раскрытие конфиденциальной информации.

Choosing your initial Path

Choosing a path in the bug bounty field is very important, it totally depends upon the person’s interest but many of the guys choose the web application path first because according to me it’s the easiest one.

  1. Web application Security testing
  2. Mobile Application Security Testing

But not limited to these two. it totally depends upon the type of interest you have.

Web Application Security Basics.

OWASP top 10 for 2017

Start from the 2010 list, so you can understand the types of vulnerabilities were in the top in 2010, what happened to them in 2017. you will understand it by learning about them and practice them

You don’t have to finish the testing guide and then start working, you should start working on the live (legal) targets, that’s the only way you can improve your skills.

Mobile Application Security Testing.

As you get more experience you are free to switch between anything you like 🙂

One stop for all mobile application security need,

Mobile Security Wiki by Aditya Agrawal

Application security Wiki also by Aditya Agrawal

Introduction

I’ve seen a lot of folks in Bug Hunting Community saying “I am not from the technical field that’s why I am not successful in bug bounty”.

This is the misconception that someone needs to be from the computer science background to be good in bug bounties. Being from the computer science background helps but it is not compulsory but you have to learn the computer science fundamentals yourself. So, If you are from the non-technical background you should get started only if you’re more interested in learning about the information security not ONLY interested in $$$$.

I am too from a Mechanical Engineering background but I am very much interested in the information security field from school time but joined mechanical field with the advice of family members but my main focus always been to Information security.

I can tell you many stories where people from the non-technical field are successful in the bug bounty or infosec field.

But, All of them have one thing in common that is “INTEREST” and willing to do the “‘hard-work’”.

If you think you will become successful overnight or over the week or over a month, this is not a field you should join. Doing bug bounties are very competitive, it might take a year at least to do good in bug bounty. you have to continue your learning, sharing & more and more practice. You must-have curiousness to learn about new things and explore the field on your own. There is huge education content out there for free.

Do not pay individuals telling you to make you successful in bug bounties overnight. Most of them are scammers.

The following are the things you should know before starting in infosec.

No one will be able to tell you everything about this field, It’s a long path but you have to travel it alone with help from others.

“Do not expect someone will spoon feed you everything.”

How to ask a question?

You should behave responsibly when asking a technical question to someone.

You shouldn’t ask like “Here is the endpoint, can you please bypass the XSS filter for me?”

You should be on point when you ask a problem — that’s it.

You should not expect people will respond to you within minutes. They will respond as soon as they get free times or they might not respond at all because of their busy schedule or whatever reason. You should also respect that — do not ping someone unnecessary.

How to find Answer to every question?

This is what I did previously, Doing now and will definitely do in future. Using “” for everything. (you can use other search engines too 😛 )

Могу ли я публиковать информацию, полученную в ходе конкурса?

Это напрямую зависит от правил конкурса. Поскольку Bug Bounty касается уязвимостей, на устранение которых порой уходит немало времени, в правилах конкурса могут встречаться требования к участникам временно воздержаться от раскрытия обнаруженной ими информации. Такие примеры нередки — можно посмотреть программы Mail.Ru и «Яндекса» (PDF):

С момента сообщения об уязвимости должно пройти не менее 3 месяцев, прежде чем вы сможете опубликовать её детали. Мы просим вас об этом, потому что нам нужно иметь достаточное количество времени, чтобы ответить вам и исправить уязвимость.

Ограничения и политика ответственного разглашения

Просьба не рассказывать о найденных уязвимостях в течение 30 дней после отправки сообщения на конкурс. Также, пожалуйста, не размещайте код обнаруженной уязвимости на публичных ресурсах, чтобы информация не попала к третьим лицам.

Плюсы данного подхода

Во-первых, использование статического анализатора — это один из самых простых способов поиска ошибок. Чтобы использовать анализаторы кода, вовсе не обязательно обладать какими-то специальными знаниями: достаточно лишь разбираться в языке, на котором написан проверяемый код.

Во-вторых, анализаторы внимательны. Они не устают и не теряют бдительности, в отличие от человека. Поэтому с помощью них можно анализировать сколь угодно большие базы кода с практически минимальными затратами.

В-третьих, анализаторы зачастую обладают большим знанием, чем человек. Что это значит? Давайте я поясню свою мысль на примере кода из ядра Android:

Казалось бы, где здесь может быть ошибка?

Оказывается, компилятор, видя, что массив keyEncryptionKey больше нигде не используется, может оптимизировать код и удалить из него вызов функции memset. Причем делать это он будет только при сборке в конфигурации release. Всё бы ничего, да только ключ шифрования на какое-то время останется в оперативной памяти незатёртым, благодаря чему он может быть получен злоумышленником. Настоящая брешь в безопасности!

И ведь найти эту ошибку самому практически невозможно: в режиме отладки вызов memset работает нормально. Да и тесты для этого особо и не напишешь… Остается об этой фиче только знать и помнить самому.

А что, если об этой фиче не знают разработчики проекта? Что, если при поиске багов об этой фиче не будете знать и вы? Анализатору это не важно, потому что у него есть диагностика V597, поэтому во время просмотра отчета вы обязательно о ней узнаете. Наконец, в-четвертых

Один из самых полезных плюсов применения статического анализа при участии в погоне за Bug Bounty — это скорость. Да, с помощью него можно проверить два, три, четыре проекта за вечер — но это еще не всё

Наконец, в-четвертых. Один из самых полезных плюсов применения статического анализа при участии в погоне за Bug Bounty — это скорость. Да, с помощью него можно проверить два, три, четыре проекта за вечер — но это еще не всё.

Самое главное, что вы можете быть первым. Пока за нахождение багов в каком-либо проекте предлагается награда, проект продолжает дорабатываться и развиваться. Разработчики выкатывают новые релизы и новые фичи, а вместе с ними приходят новый код и новые просторы для ошибок. При использовании описанного мной подхода можно будет прицельно рассматривать новые ошибки и потенциальные уязвимости в первый же день их выхода в свет.

Правила

В первую очередь советую внимательно ознакомиться с правилами программы, в которой ты хочешь принять участие: чем больше скоуп, тем шире attack surface и выше возможность что-нибудь найти

Тем не менее стоит обращать внимание на принадлежность сервисов к тем или иным доменам. Например, программы баг-баунти обычно не охватывают домены, принадлежащие третьей стороне

Впрочем, если есть шанс, что это повлияет на основные сервисы, можешь рассчитывать на повышение рейтинга на Hacker1 и денежную компенсацию.

Из российских компаний я бы отметил Mail.Ru Group. Это лояльная команда, которая быстро отвечает и принимает баги. Хотя поставили мне несколько n/a.

WARNING

Важное напоминание! Когда ты найдешь баг, не докручивай его до финала, если тебя не попросят об этом специально. Не нужно дампить базу, дефейсить сайт или каким-то образом влиять на пользователей

Тот, кто принимает у тебя баг, обычно и сам в состоянии довести дело до логического конца.

Еще один совет начинающим: не стоит выпрашивать деньги у компаний. Объективные баги они оценят по достоинству, опыта у них, скорее всего, гораздо больше, чем у тебя.

Готовим плацдарм

Для более эффективного багхантинга нам необходимо мониторить изменения на периметре компании — это позволит оперативно обнаруживать новые сервисы или новые версии веб-приложений. Также мониторинг может быть полезен, если у тебя есть команда — вы сможете обмениваться информацией при совместной охоте.

Serpico

Первое, что нам понадобится, — система хранения и описания багов. В свое время я использовал Dradis, но сейчас предпочитаю Serpico. Эта программа позволяет заносить баги по классификациям и сразу подтягивает их описание. Все это прекрасно кастомизируется и масштабируется для командной работы.

Фреймворк работает в Linux/Win-среде, есть контейнер Docker для развертывания.

Nmap-bootstrap-xsl

Нет, читатель, я не считаю тебя мамкиным хакером, который не знает про Nmap. Но мы будем использовать еще и отличный аддон для работы с журналами сканирований . Он позволяет конвертировать результаты сканирований в HTML с удобным интерфейсом и возможностью выборки. Это бывает очень удобно при сравнении результатов сканирования.

Скачиваем и запускаем сканирование:

Далее преобразовываем выхлоп скана в HTML:

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score!
Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя!
Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.

Я уже участник «Xakep.ru»

Примечания

  1. Facebook Security. . Facebook (26 April 2014). Дата обращения 11 марта 2014.
  2. . HackerOne. Дата обращения 11 марта 2014.
  3. CenturyLink . Дата обращения 30 июля 2016.
  4. Whitehat, Facebook . CNET.
  5. . Factor Daily (8 February 2018). Дата обращения 4 июня 2018.
  6. T-shirt Gate, Yahoo! . ZDNet.
  7. Bug Bounty, Yahoo! . Ramses Martinez. Дата обращения 2 октября 2013.
  8. BugBounty Program, Yahoo! . Ramses Martinez. Дата обращения 31 октября 2013.
  9. Michael Toecker. . Digital Bond (23 July 2013). Дата обращения 21 мая 2019.
  10. Steve Ragan. . CSO (18 July 2013). Дата обращения 21 мая 2019.
  11. Fahmida Y. Rashi. . Security Week (16 July 2013). Дата обращения 21 мая 2019.
  12. Goodin, Dan . Ars Technica (9 October 2013). Дата обращения 11 марта 2014.
  13. Zalewski, Michal . Google Online Security Blog (9 October 2013). Дата обращения 11 марта 2014.
  14. Goodin, Dan . Ars Technica (6 November 2013). Дата обращения 11 марта 2014.
  15. . VentureBeat (21 July 2017). Дата обращения 4 июня 2018.

Findings not eligible for bounty

  • Any hypothetical flaw or best practices without exploitable POC.
  • Login, logout, unauthenticated or low-value CSRF.
  • Missing security-related HTTP headers which do not lead directly to a vulnerability.
  • Presence/absence of SPF/DMARC records.
  • Reports of insecure SSL/TLS ciphers (unless you have a working proof of concept).
  • Mixed content warnings.
  • Brute force / password reuse attacks.
  • User enumeration attacks.
  • Premium phone numbers attacks.
  • Disclosure of known public files or directories, (e.g. robots.txt).
  • Massive automated actions on the platform through robots/crawling (except if it gathers sensitive information from members).
  • “Self” XSS.
  • Missing cookie flags.
  • SSL/TLS best practices.
  • Mixed content warnings.
  • Denial of Service attacks.
  • “HTTP Host Header” XSS.
  • Clickjacking/UI redressing.
  • Software version disclosure.
  • Stack traces or path disclosure.
  • Physical or social engineering attempts.
  • Recently disclosed 0-day vulnerabilities.
  • Presence of autocomplete attribute on web forms.
  • Vulnerabilities affecting outdated browsers or platforms.
  • Issues that require physical access to a victim’s computer/device.
  • Logout and other instances of low-severity Cross-Site Request Forgery.
  • Missing security-related HTTP headers which do not lead directly to a vulnerability.
  • Reports from automated web vulnerability scanners (Acunetix, Vega, etc.) that have not been validated.
  • Reports about third-party applications we provide to our customers but aren’t part of our system directly (phpMyAdmin, Roundcube Webmail, etc.), if the vulnerability doesn’t directly exposes customers data and/or metadatas.
  • Reports on third-party applications that we provide to our customers but are not directly part of our system (phpMyAdmin, Webmail Roundcube, etc.), unless the vulnerability that exposes user data and/or metadata is fixed for more than a month in the upstream version and we are not up to date.
  • Reports about know vulnerabilities in sub-component parts (e.g. OpenSSH) that are just being disclosed. We aim to apply security patches in 30 days or less, so reports that concern to recent disclosed vulnerabilities are not relevant.
  • Reports about sites or applications hosted by our customer, except if the vulnerability is due to our platform in conjunction with the customer application.
  • Reports about vulnerabilities from third-party applications that we use that are either unknown, unfixed or fixed in unreleased versions.

Google Vulnerability Reward Program (VRP)

Languages: C/C++, Java, Python, Go (Server-side); JavaScript, Flash (Client-side)Bounty: $100 USD (Minimum), $20,000 (Maximum)

Google is arguably the most dominant force on the web today. From its ever-evolving search engine to its various media channels, it reaches virtually every home and mobile device. This extreme reach also comes with its fair share of security vulnerabilities and risks. Google introduced its reward program to combat these very perils.

As shown in the screenshot below, Google gives extra importance to the widely exploited vulnerabilities such as SQLi, XSS, CSRF and Remote Code Execution. The researchers, successful in finding loopholes as per the requirements of the security team, get full recognition and are indicted into the company’s Hall of Fame.

The participants in Google’s bug-hunting program should ideally create an account on bughunter.withgoogle.com, a dedicated dashboard to assist with better raking of the detected flaws. Researchers without a profile on bughunter.withgoogle.com cannot be featured on the 0x0A and honorable mentions list (Hall of Fame) of the program.

Rewards

Hall of Fame

We’ll be pleased to credit you in our HoF at /fr/transparence/ for your reports until patches are applied.

We mention our security partnerships on our social networks accounts (e.g. ).

If you report critical vulnerabilities, we’ll be pleased to interview you as a security researcher, and publish the interview in our blog at https://blog.alwaysdata.com/.

Swag

We offer t-shirts, swag stuff and/or vouchers as rewards for validated reports, within the limit of an expedition to the EU only. We are regularly invited to conferences worldwide, we can get in touch to give you your swag during those events.

Cash

Our minimum reward is €50.

The following is merely an indicator of rewards, but does not reflect what the final decision might be. We value quality reports and proofs of concepts.

Qualification Examples of vulnerabilities (non-comprehensive list) Score CVSS Bounty
None N/A No Bounty
Low Accessing restricted parts of third-party elements or their plugins (blog, forum, etc.) 0.1 — 3.9 Up to €50
Medium Accessing permissions/config on users account w/o accessing their content 4.0 — 6.9 Up to €200
High Accessing customers data/informations 7.0 — 8.9 Up to €350
Critical Accessing in read or read-write mode to the core platform architecture 9.0 — 10.0 Up to €500

Qualifying Vulnerabilities

  • SQL Injection.
  • Finding unwanted numeric user id (even yours) in views, that allow you to forge requests.
  • Exposure of Sensitive members information.
  • Exposure of internal tools.
  • Exposure of configuration files or secrets.
  • Directory Traversal Issues.
  • Local files access and manipulation (LFI, RFI, XXE, SSRF, XSPA).
  • Local File Disclosure (LFD).
  • Code injections (HTML, JS, SQL, PHP, …).
  • Cross-Site Scripting (XSS).
  • Cross-Site Requests Forgery (CSRF) with real security impact.
  • Server-Side Request Forgery (SSRF).
  • Open redirect.
  • Remote Code Execution (RCE).
  • Broken authentication & session management.
  • Insecure direct object references.
  • CORS with real security impact.
  • Missing “secure” flags on authentication cookies.
  • Access Control Issues.
  • Horizontal and vertical privilege escalation.

Battlehack 2015

Languages: C++, JavaScript (as Node.js)Bounty: $100,000 USD (1st Prize), Xbox One (2nd Prize), Adafruit ARDX (3rd Prize)

The year’s most enticing bug bounty competition is actually going to be a road-trip all around the world, with events to be held in 10 major metros on different dates. This mega-event is being sponsored by IT giants, such as PayPal, Twitter, Braintree and more. The first prize is going to be a whopping $100,000 USD and the “Ultimate Hacker” title.

These Battlehack events, primarily sponsored by e-commerce giant Paypal, initially produce local winners in the different cities. The winning teams from the various cities, who receive axes instead of trophies, then gain eligibility to participate in the world finals where they can aim for the first prize, which is worth no less than $100,000 USD.

PayPal puts extra emphasis on giving the developers center-stage and offers them a series of perks while participating in the contest. These include catering services, beer breaks and even stations for quick power-naps. More importantly, the Battlehack participants retain full ownership of all the software they develop.

WordPress Security Bug Bounty Program

Languages: PHP, MySQLBounty: $100 USD (Minimum), $1,000 (Maximum)

WordPress has evolved into the world’s leading Content Management System (CMS) in recent years thanks to its user-friendly functions and flexible customization capabilities. But the use of third-party plugins also makes it a risky platform, especially when many websites fail to even apply the latest updates from WordPress itself.

White Fir Design’s WordPress security bug bounty program offers rewards for detecting vulnerabilities in the WordPress platform. Bounties vary from $1000 USD for severe flaws to $100 USD for minor issues. There is also prize money for the detection of WordPress Plugin loopholes, with the bounties ranging from $125 USD to $250 USD.

Что представляет собой Bug Bounty как конкурс?

Вначале, как всегда, разберемся с терминологией. Что такое конкурс с точки зрения действующего законодательства? Смотрим статью 1057 Гражданского кодекса РФ:

Лицо, объявившее публично о выплате денежного вознаграждения или выдаче иной награды (о выплате награды) за лучшее выполнение работы или достижение иных результатов (публичный конкурс), должно выплатить (выдать) обусловленную награду тому, кто в соответствии с условиями проведения конкурса признан его победителем.

То есть конкурс — это модель, по которой любое желающее того лицо (назовем его организатором конкурса) вправе публично пообещать выдать награду тому участнику, кто лучше других выполнит определенную работу (конкурсное задание) или достигнет определенных результатов. Организатором конкурса может быть любое дееспособное лицо — физическое или юридическое. Однако правила конкурса могут задавать дополнительные требования к участникам. Смотри пример Bug Bounty компании Badoo по модели конкурса:

Участвовать в конкурсе могут все желающие, кроме сотрудников Badoo.

И еще пример — BB «Газинформсервиса» (PDF):

Участниками конкурса могут быть только физические лица, граждане Российской Федерации.

Вот и все условия допуска желающих к участию в конкурсе. Иногда в них пишут не про граждан, а про резидентов. Пример из условий Bug Bounty компании PayQR:

Участвовать могут физлица, являющиеся резидентами РФ.

Резидент РФ — пожалуйста, можешь участвовать. Не резидент — награда тебя не ждет. Правда, для полной ясности хорошо бы разобраться, кого организаторы конкурса понимают под резидентами РФ. Речь может идти как о гражданах РФ, так и о налоговых резидентах. В части 2 статьи 207 Налогового кодекса РФ (НК РФ) есть пояснение, кто считается налоговым резидентом:

Налоговыми резидентами признаются физические лица, фактически находящиеся в Российской Федерации не менее 183 календарных дней в течение 12 следующих подряд месяцев. Период нахождения физического лица в Российской Федерации не прерывается на периоды его выезда за пределы территории Российской Федерации для краткосрочного (менее шести месяцев) лечения или обучения, а также для исполнения трудовых или иных обязанностей, связанных с выполнением работ (оказанием услуг) на морских месторождениях углеводородного сырья.

Получается, что налоговый резидент — это гражданин любого государства (равно как и лицо без какого-либо гражданства вообще), который находится на территории России не менее полугода за последний год. Более подробно про это можно почитать здесь. Юридические лица также могут быть налоговыми резидентами РФ, подробнее про это см. там же и в статье 246.2 НК РФ.

Вернемся от налогов к конкурсу. Конкурс может быть как открытым для участников, так и закрытым (пункт 3 статьи 1057 ГК РФ):

Публичный конкурс может быть открытым, когда предложение организатора конкурса принять в нем участие обращено ко всем желающим путем объявления в печати или иных средствах массовой информации, либо закрытым, когда предложение принять участие в конкурсе направляется определенному кругу лиц по выбору организатора конкурса.

Открытый конкурс может быть обусловлен предварительной квалификацией его участников, когда организатором конкурса проводится предварительный отбор лиц, пожелавших принять в нем участие.

Открытый конкурс — это когда его организатор публично сообщает о нем всем через СМИ, даже если текст содержит ограничение по тому, кто может участвовать. Закрытый конкурс — это когда его организатор сам выбирает потенциальных участников и рассылает им правила и условия.

Приведенные выше примеры — это открытые конкурсы. Несмотря на то что сайты, на которых они опубликованы, могут не быть СМИ, это не должно ввергать в сомнения. Вполне возможно, что правила этих конкурсов доступны и на других сайтах, которые считаются СМИ (то есть имеют соответствующую лицензию Роскомнадзора).

Samsung Smart TV Security Bounty Program

Languages: Tizen, AndroidBounty: $500 USD (Minimum), $3000 USD (Maximum)

Samsung is one of the world’s leading TV manufacturers with Internet of Things (IoT) functionality. These Smart TV features need constant connection to the internet and are not yet completely safe, something that malicious hackers can exploit. The Korean company’s proprietary Blu-Ray software is also in the bug bounty program.

Besides the money payouts, Samsung also has a dedicated Hall of Fame for the individuals who have qualified and reported about security bugs in the company’s various applications. This helps in nourishing the ethical hacking community and creating a new culture of bug hunting. The bug report process is a user-friendly process.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector