Beleid oor die bekendmaking van kwesbaarheid

huis - Beleid oor die bekendmaking van kwesbaarheid

Opsomming

Elke dag word nuwe veiligheidskwessies en kuberveiligheidsaanvalle geskep. LogMeOnce maak gebruik van moderne veiligheidsontwikkelings deur saam met sekuriteitsnavorsers en -ondernemings te werk. Die doel van hierdie dokument is om die bepalings en voorwaardes uiteen te sit waaronder ons premies sal betaal; vir eties gerapporteerde goggas.

Beleid

Die beskerming van gebruikersinligting is 'n topprioriteit en 'n kernbeginsel by LogMeOnce. Ons verwelkom die bydrae van eksterne veiligheidsondersoekers en sien daarna uit om hulle toe te ken vir hul waardevolle bydrae tot die veiligheid van alle werknemers en gebruikers van LogMeOnce..

Belonings

LogMeOnce bied volgens sy goeddunke belonings aan kwesbaarheid-verslaggewers (sien behoorlik “Verslaggewing”). Ons beloning is $30 USD vir lae impak, $50 USD vir medium impak. Beloningsbedrae kan wissel afhangende van die erns van die kwesbaarheid wat gerapporteer word en die kwaliteit van die verslag. Hou in gedagte dat dit nie 'n wedstryd of kompetisie is nie.

Toepassings in omvang

LogMeOnce-oplossings wat buite kyk en LogMeOnce-produkte wat tans ondersteun word, is in omvang.

In aanmerking te kom en verantwoordelike openbaarmaking

Om die ontdekking en verslagdoening van kwesbaarhede te bevorder en gebruikersveiligheid te verhoog, ons vra dat u:

  • Tree te goeder trou op om skending van privaatheid te voorkom, vernietiging van data, en onderbreking of agteruitgang van ons dienste (insluitend ontkenning van diens);
  • Moenie toegang tot ons data of ons gebruikers se data verkry of verander nie, sonder die uitdruklike toestemming van die eienaar. Gebruik slegs u eie rekeninge of toetsrekeninge vir veiligheidsnavorsingsdoeleindes;
  • Kontak ons ​​onmiddellik as u per ongeluk gebruikersdata teëkom. Moenie besigtig nie, verander, red, stoor, oordrag, of andersins toegang tot die data kry, en verwyder alle plaaslike inligting onmiddellik wanneer u die kwesbaarheid aan LogMeOnce rapporteer;
  • Wees asseblief respek vir ons bestaande aansoeke. Gemorspos deur middel van outomatiese kwesbaarheidskandeerders sal geen oorvloed of toekenning tot gevolg hê nie, aangesien dit eksplisiet buite die omvang is;
  • Deel die veiligheidskwessie in detail met ons;
  • Gee ons 'n redelike tyd om op die probleem te reageer; en
  • Voldoen anders aan alle toepaslike wette.

Ons beloon slegs die eerste verslaggewer van 'n kwesbaarheid. Openbare bekendmaking van die kwesbaarheid is nie toegelaat nie en sal 'n hangende beloning kanselleer. Ons behou ons die reg voor om individue van die program te diskwalifiseer weens oneerbiedige of ontwrigtende gedrag.

Ons sal nie onderhandel in reaksie op dwang of dreigemente nie (bv, ons sal nie die uitbetalingsbedrag beding onder dreigement van die weerhouding van die kwesbaarheid of dreigement om die kwesbaarheid of enige blootgestelde data aan die publiek vry te stel nie).

Kwesbaarhede buite die omvang

Die volgende kwessies val buite die bestek van ons beloningsprogram:

  • Ons beleid rakende die aanwesigheid / afwesigheid van SPF / DMARC-rekords.
  • wagwoord, e-pos, en rekeningbeleide, soos e-pos-verifikasie, skakel skakel verstryking terug, wagwoord kompleksiteit.
  • Gebrek aan CSRF-tokens (tensy daar bewys is van werklike, sensitiewe gebruikershandeling wat nie deur 'n teken beskerm word nie).
  • Aanmeld / afmeld CSRF.
  • Aanvalle wat fisiese toegang tot 'n gebruiker se toestel vereis.
  • Ontbrekende sekuriteitsopskrifte wat nie direk tot 'n kwesbaarheid lei nie.
  • Best practices ontbreek (ons benodig bewyse van 'n veiligheidsprobleem).
  • Self-XSS (ons benodig bewyse oor hoe die XSS in 'n aanval gebruik kan word).
  • Gasheer koptekstinspuitings, tensy u kan aantoon hoe dit kan lei tot diefstal van data.
  • Gebruik van 'n bekende kwesbare biblioteek (sonder bewyse van ontginbaarheid).
  • Kwessies wat verband hou met sagteware wat nie LogMeOnce bevat nie.
  • Verslae van outomatiese gereedskap of skanderings.
  • Verslae van strooipos (dit wil sê, enige verslag wat die vermoë het om e-pos sonder koersbeperkings te stuur).
  • Aanvalle wat vereis dat die aanvaller-app die toestemming het om bo-op ons app te bedek (bv, tapjacking).
  • Kwesbaarhede wat gebruikers van verouderde blaaiers of platforms raak.
  • Sosiale ingenieurswese van werknemers of kontrakteurs van LogMeOnce.
  • Enige fisiese pogings teen LogMeOnce-eiendom of datasentrums.
  • Die teenwoordigheid van 'n outovolledige kenmerk op webvorms.
  • Ontbrekende koekievlae op nie-sensitiewe koekies.
  • Verslae van onveilige SSL / TLS-koderings (tensy u 'n bewys van die konsep het en nie net 'n verslag van 'n skandeerder nie).
  • Enige toegang tot data waar die teikengebruiker 'n gewortelde mobiele toestel moet bestuur.
  • Enige verslag oor DLL-kaping sonder om aan te toon hoe dit nuwe voorregte verkry, val ook buite die omvang.
  • Enige verslag oor hoe LogMeOnce-oplossings gebruik kan word om malware te bedien.
  • Inhoudspoofing-kwesbaarhede (waar u slegs teks of 'n prent in 'n bladsy kan spuit) buite omvang is.
  • Ons aanvaar 'n kwesbaarheid vir spoofing waar aanvaller beeld of ryk teks kan inspuit (HTML), maar dit kom nie in aanmerking vir 'n oorvloed nie. Suiwer teksinjectie is buite die omvang.
  • Die vermoë om skakels te deel sonder om e-pos te verifieer.
  • Afwesigheid van koersbeperking, tensy dit verband hou met verifikasie.
  • Weerlêings vir kwessies wat deur lêers afgelaai word of enige kwesbaarhede waarmee u 'n aflaai na die rekenaar van die gebruiker kan begin, val buite die omvang.
  • IP / poort-skandering via LogMeOnce-dienste, tensy u private IP's of LogMeOnce-bedieners kan tref.
  • Toestelle (ios, Android, lessenaarprogramme) word nie ontkoppel wanneer wagwoord verander word nie.
  • Hyperlink-inspuiting of enige skakelinspuiting in e-posse wat ons stuur.
  • Die skepping van veelvuldige rekeninge met dieselfde e-pos is ook nie beskikbaar nie.
  • Phishing-risiko via unicode- / punycode- of RTLO-kwessies.
  • In staat wees om lêers met die verkeerde uitbreiding in kieser op te laai.
  • Bewerkbare Github-wiki's.

Aantekeninge oor SSRF-voorleggings

Voordat u 'n SSRF-verslag indien, maak asseblief seker dat die antwoord wat u ontvang, nie een is nie:

  • herstel
  • HTTP / 1.1 403 Verbode

Een van hierdie antwoorde dui gewoonlik aan dat u versoek geblokkeer is en nie 'n geldige SSRF is nie.

Gevolge van die nakoming van hierdie beleid

Ons sal nie siviele optrede voortsit of 'n klag by wetstoepassing instel weens toevallige optrede nie, te goeder trou oortredings van hierdie beleid. Ons beskou aktiwiteite wat ooreenstem met hierdie beleid as 'gemagtigde' gedrag ingevolge die Wet op Rekenaarbedrog en -misbruik. In die mate wat u aktiwiteite strydig is met sekere beperkings in ons beleid vir aanvaarbare gebruik, ons doen afstand van hierdie beperkings vir die beperkte doel om veiligheidsnavorsing ingevolge hierdie beleid toe te laat. Ons sal nie 'n DMCA-eis teen u indien om die tegnologiese maatreëls wat ons gebruik het om die toepassings te beskerm nie, te omseil.

As regstappe deur 'n derde teen u ingestel word en u voldoen aan die Bug Bounty-beleid van LogMeOnce, LogMeOnce sal stappe doen om bekend te maak dat u optrede in ooreenstemming met hierdie beleid uitgevoer is.

Die fynskrif

U is verantwoordelik vir die betaling van belasting wat verband hou met belonings. Ons kan die bepalings van hierdie program te eniger tyd verander of beëindig. Ons sal geen veranderinge wat ons aan hierdie programvoorwaardes maak, met terugwerkende krag toepas nie. Verslae van individue wat ons volgens wet verbied om te betaal, kom nie in aanmerking vir belonings nie. LogMeOnce-werknemers en hul familielede kom nie in aanmerking vir premies nie.

verslagdoening

Stuur alle besonderhede na [email protected] met die onderwerpreël “Openbaarmaking van kwesbaarheid in LogMeOnce”.

Sluit asseblief 'n geldige e-posadres in, en sosiale media profiel.

Uitsonderings

Behalwe soos anders vermeld, daar is geen uitsonderings op hierdie beleid nie.

Behoudstydperk vir prosedure: Permanent, of tot vervang.

Hersienings- / hersieningsiklus: Jaarliks

Let daarop dat hierdie beleid / prosedure te eniger tyd deur die eienaar of ander gemagtigde party hersien kan word. Die tydperk wat hier opgemerk word, het die maksimum tyd bepaal wat kan verloop sedert die uitreikdatum voordat die prosedure ten minste vir akkuraatheid en relevansie hersien word.

Hersieningsdatum: 08-2020

bitcoin blender cryptomixer beste bitcoin -menger