سياسة الإفصاح عن نقاط الضعف

الصفحة الرئيسية - سياسة الإفصاح عن نقاط الضعف

ملخص

يتم إنشاء مشكلات أمنية وهجمات أمنية جديدة كل يوم. يستخدم LogMeOnce أحدث التطورات الأمنية من خلال العمل مع الباحثين والشركات الأمنية. الغرض من هذا المستند هو تحديد الشروط والأحكام التي بموجبها سندفع المنح; للأخطاء المبلغ عنها أخلاقيا.

سياسات

يعد الحفاظ على سلامة معلومات المستخدم وأمانها أولوية قصوى ومبدأ أساسي في LogMeOnce. نرحب بمساهمة باحثي الأمن الخارجيين ونتطلع إلى منحهم مكافآت لمساهمتهم القيمة في أمن جميع موظفي ومستخدمي LogMeOnce.

المكافآت

يوفر LogMeOnce مكافآت لمراسلي الثغرات وفقًا لتقديره (انظر بشكل صحيح "التقارير"). مكافأتنا $30 الدولار مقابل تأثير منخفض, $50 الدولار للتأثير المتوسط. قد تختلف مبالغ المكافآت اعتمادًا على شدة الثغرة الأمنية المبلغ عنها وجودة التقرير. ضع في اعتبارك أن هذه ليست مسابقة أو منافسة.

تطبيقات في النطاق

حلول LogMeOnce المواجهة خارجيًا ومنتجات LogMeOnce المدعومة حاليًا في النطاق.

الأهلية والإفصاح المسؤول

لتعزيز اكتشاف الثغرات والإبلاغ عنها وزيادة أمان المستخدم, نطلب منك ذلك:

  • التصرف بحسن نية لتجنب انتهاكات الخصوصية, تدمير البيانات, وانقطاع أو تدهور خدماتنا (بما في ذلك رفض الخدمة);
  • لا تدخل إلى بياناتنا أو بيانات مستخدمينا أو تعدلها, دون إذن صريح من المالك. تفاعل فقط مع حساباتك الخاصة أو حسابات الاختبار لأغراض البحث الأمني;
  • اتصل بنا على الفور إذا صادفت عن غير قصد بيانات المستخدم. لا تنظر, تبديل, حفظ, متجر, نقل, أو الوصول إلى البيانات بطريقة أخرى, وقم بمسح أي معلومات محلية فورًا عند إبلاغ LogMeOnce بالثغرة الأمنية;
  • يرجى أن تحترم تطبيقاتنا الحالية. لن تؤدي نماذج إرسال الرسائل غير المرغوب فيها من خلال أدوات الفحص الآلي للثغرات الأمنية إلى أي مكافأة أو مكافأة نظرًا لأن تلك هي صراحة خارج النطاق;
  • شاركنا مشكلة الأمان بالتفصيل;
  • امنحنا وقتًا معقولاً للرد على المشكلة; و
  • خلاف ذلك الامتثال لجميع القوانين المعمول بها.

نحن نكافئ فقط المراسل الأول للثغرة. لا يُسمح بالإفصاح العام عن الثغرة الأمنية وسيؤدي ذلك إلى إلغاء المكافأة المعلقة. نحتفظ بالحق في استبعاد الأفراد من البرنامج بسبب السلوك غير المحترم أو التخريبي.

لن نتفاوض ردًا على الإكراه أو التهديد (مثلا, لن نتفاوض بشأن مبلغ العائد تحت التهديد بحجب الثغرة الأمنية أو التهديد بالإفراج عن الثغرة الأمنية أو أي بيانات مكشوفة للجمهور).

الثغرات الأمنية خارج النطاق

المشكلات التالية خارج نطاق برنامج المكافآت الخاص بنا:

  • سياساتنا بشأن وجود / عدم وجود سجلات SPF / DMARC.
  • كلمه السر, البريد الإلكتروني, وسياسات الحساب, مثل التحقق من معرف البريد الإلكتروني, إعادة تعيين انتهاء صلاحية الرابط, تعقيد كلمة المرور.
  • عدم وجود رموز CSRF (ما لم يكن هناك دليل على فعلية, إجراء مستخدم حساس غير محمي برمز مميز).
  • تسجيل الدخول / تسجيل الخروج CSRF.
  • الهجمات التي تتطلب الوصول المادي إلى جهاز المستخدم.
  • رؤوس أمان مفقودة لا تؤدي مباشرة إلى ثغرة أمنية.
  • أفضل الممارسات مفقودة (نحتاج إلى دليل على وجود ثغرة أمنية).
  • XSS الذاتي (نحن بحاجة إلى دليل على كيفية استخدام XSS في هجوم).
  • استضافة حقن رأس ما لم تتمكن من إظهار كيف يمكن أن تؤدي إلى سرقة البيانات.
  • استخدام مكتبة معرضة للخطر (بدون دليل على قابلية الاستغلال).
  • القضايا المتعلقة ببرامج عربات التي تجرها الدواب غير LogMeOnce.
  • تقارير من أدوات آلية أو عمليات مسح.
  • تقارير البريد العشوائي (بمعنى آخر., أي تقرير يتضمن القدرة على إرسال رسائل بريد إلكتروني بدون حدود للمعدلات).
  • الهجمات التي تتطلب أن يحصل تطبيق المهاجم على إذن للتراكب فوق تطبيقنا (مثلا, نقر).
  • نقاط الضعف التي تؤثر على مستخدمي المتصفحات أو الأنظمة الأساسية القديمة.
  • الهندسة الاجتماعية لموظفي LogMeOnce أو المقاولين.
  • أي محاولات فعلية ضد ممتلكات LogMeOnce أو مراكز البيانات.
  • وجود سمة الإكمال التلقائي في نماذج الويب.
  • علامات ملفات تعريف الارتباط مفقودة في ملفات تعريف الارتباط غير الحساسة.
  • تقارير شفرات SSL / TLS غير الآمنة (ما لم يكن لديك دليل عملي على المفهوم وليس مجرد تقرير من ماسح ضوئي).
  • أي وصول إلى البيانات حيث يحتاج المستخدم المستهدف إلى تشغيل جهاز محمول جذر.
  • أي تقرير حول اختطاف DLL دون توضيح كيفية حصوله على امتيازات جديدة هو أيضًا خارج النطاق.
  • أي تقرير حول كيفية استخدام حلول LogMeOnce لخدمة البرامج الضارة.
  • محتوى ينتحل نقاط الضعف (حيث يمكنك فقط إدخال نص أو صورة في الصفحة) خارج النطاق.
  • سنقبل ونحل الثغرة الأمنية المخادعة حيث يمكن للمهاجم إدخال صورة أو نص منسق (لغة البرمجة), لكنها ليست مؤهلة للحصول على مكافأة. إدخال نص خالص خارج النطاق.
  • القدرة على مشاركة الروابط دون التحقق من البريد الإلكتروني.
  • عدم وجود قيود على المعدل, ما لم تكن مرتبطة بالمصادقة.
  • نقاط الضعف في تنزيل الملف المنعكس أو أي ثغرات تسمح لك ببدء التنزيل على كمبيوتر المستخدم خارج النطاق.
  • مسح IP / المنفذ عبر خدمات LogMeOnce ما لم تكن قادرًا على الوصول إلى عناوين IP الخاصة أو خوادم LogMeOnce.
  • الأجهزة (دائرة الرقابة الداخلية, ذكري المظهر, تطبيقات سطح المكتب) عدم فك الارتباط عند تغيير كلمة المرور.
  • حقن الارتباط التشعبي أو إدخال أي ارتباط في رسائل البريد الإلكتروني التي نرسلها.
  • يعد إنشاء حسابات متعددة باستخدام نفس البريد الإلكتروني خارج النطاق أيضًا.
  • مخاطر التصيد الاحتيالي عبر مشكلات unicode / punycode أو RTLO.
  • القدرة على تحميل الملفات ذات الامتداد الخاطئ في المنتقي.
  • قابل للتحرير جيثب ويكي.

ملاحظات حول عمليات إرسال SSRF

قبل تقديم تقرير SSRF, يرجى التأكد من أن الرد الذي تتلقاه ليس كذلك:

  • إعادة تعيين
  • HTTP / 1.1 403 ممنوع

يشير أي من هذه الردود عادةً إلى أن طلبك قد تم حظره وليس SSRF صالحًا.

عواقب الامتثال لهذه السياسة

لن نرفع دعوى مدنية أو نرفع شكوى إلى جهات إنفاذ القانون بسبب حادث عرضي, انتهاكات حسن النية لهذه السياسة. نحن نعتبر الأنشطة التي يتم إجراؤها وفقًا لهذه السياسة بمثابة سلوك "مصرح به" بموجب قانون الاحتيال وإساءة استخدام الكمبيوتر. إلى الحد الذي لا تتوافق فيه أنشطتك مع قيود معينة في سياسة الاستخدام المقبول الخاصة بنا, نتنازل عن هذه القيود لغرض محدود وهو السماح بالبحث الأمني ​​بموجب هذه السياسة. لن نرفع دعوى بموجب قانون الألفية الجديدة لحقوق طبع ونشر المواد الرقمية ضدك بسبب التحايل على التدابير التكنولوجية التي استخدمناها لحماية التطبيقات في النطاق.

إذا قام طرف ثالث برفع دعوى قضائية ضدك وامتثلت لسياسة Bug Bounty الخاصة بـ LogMeOnce, ستتخذ LogMeOnce خطوات لإعلامك بأن أفعالك قد تم تنفيذها وفقًا لهذه السياسة.

طباعة جيدة

أنت مسؤول عن دفع أي ضرائب مرتبطة بالمكافآت. يجوز لنا تعديل شروط هذا البرنامج أو إنهاء هذا البرنامج في أي وقت. لن نطبق أي تغييرات نجريها على شروط البرنامج هذه بأثر رجعي. التقارير الواردة من الأفراد الذين يحظر علينا القانون دفعها غير مؤهلة للحصول على مكافآت. لا يحق لموظفي LogMeOnce وأفراد أسرهم الحصول على مكافآت.

التقارير

أرسل كل التفاصيل إلى [email protected] مع سطر الموضوع "LogMeOnce Gulnerability Disclosure".

الرجاء تضمين عنوان بريد إلكتروني صالح للعمل, وملف تعريف الوسائط الاجتماعية.

الاستثناءات

ما لم ينص على خلاف ذلك, لا توجد استثناءات لهذه السياسة.

فترة الاحتفاظ بالإجراء: بشكل دائم, أو حتى يتم استبدالها.

دورة المراجعة / المراجعة: سنوي

لاحظ أنه يمكن مراجعة هذه السياسة / الإجراء في أي وقت من قبل المالك أو جهة أخرى مفوضة. حددت الفترة الزمنية المذكورة هنا الحد الأقصى للوقت الذي يمكن أن ينقضي منذ تاريخ الإصدار قبل مراجعة الإجراء على الأقل للتأكد من دقته ومدى ملاءمته.

تاريخ المراجعة: 08-2020

خلاط البيتكوين cryptomixer أفضل خلاط بيتكوين