Палітыка раскрыцця ўразлівасці

дома - Палітыка раскрыцця ўразлівасці

Рэзюмэ

Кожны дзень ствараюцца новыя праблемы бяспекі і атакі на кібербяспеку. LogMeOnce выкарыстоўвае самыя сучасныя распрацоўкі ў галіне бяспекі, працуючы з даследчыкамі і кампаніямі па бяспецы. Мэта гэтага дакумента - акрэсліць умовы і ўмовы, пры якіх мы будзем плаціць выплаты; за этычна паведамленыя памылкі.

Палітыка

Захаванне інфармацыі карыстальніка ў бяспецы - галоўны прыярытэт і асноўны прынцып LogMeOnce. Мы вітаем уклад знешніх даследчыкаў у галіне бяспекі і чакаем узнагароды за неацэнны ўклад у бяспеку ўсіх супрацоўнікаў і карыстальнікаў LogMeOnce.

Узнагароды

LogMeOnce прадастаўляе ўзнагароды рэпарцёрам па ўразлівасці на сваё меркаванне (паглядзець правільна "Справаздачнасць"). Наша ўзнагарода $30 USD за нізкі ўплыў, $50 USD за сярэдні ўплыў. Сумы ўзнагароджання могуць вар'іравацца ў залежнасці ад цяжкасці паведамлення аб уразлівасці і якасці справаздачы. Майце на ўвазе, што гэта не конкурс і не конкурс.

Заяўкі ў сферы

Знешнія рашэнні LogMeOnce і якія падтрымліваюцца ў цяперашні час прадукты LogMeOnce знаходзяцца ў сферы.

Прымальнасць і адказнае раскрыццё інфармацыі

Садзейнічаць выяўленню і паведамленню пра ўразлівасці і павышэнню бяспекі карыстальнікаў, мы просім вас:

  • Дзейнічайце добрасумленна, каб пазбегнуць парушэння прыватнасці, знішчэнне дадзеных, і перапыненне альбо пагаршэнне якасці нашых паслуг (у тым ліку адмова ў абслугоўванні);
  • Не карыстайцеся і не змяняйце нашы дадзеныя і дадзеныя нашых карыстальнікаў, без відавочнага дазволу ўладальніка. Узаемадзейнічайце толькі з вашымі ўласнымі ўліковымі запісамі або тэставымі ўліковымі запісамі ў мэтах даследавання бяспекі;
  • Неадкладна звяжыцеся з намі, калі незнарок сутыкнуліся з дадзенымі карыстальніка. Не праглядаць, змяніць, захаваць, крама, перадача, альбо іншым чынам атрымаць доступ да дадзеных, і неадкладна выдаліць любую мясцовую інфармацыю пасля паведамлення пра ўразлівасць LogMeOnce;
  • Калі ласка, паважайце нашы існуючыя дадаткі. Спам-формы праз аўтаматызаваныя сканеры ўразлівасці не прывядуць да ўзнагароджання і ўзнагароджання, бо яны відавочна выходзяць за рамкі;
  • Падзяліцеся з намі падрабязна праблемай бяспекі;
  • Дайце нам разумны час, каб адказаць на пытанне; і
  • У адваротным выпадку выконвайце ўсе прыдатныя законы.

Мы ўзнагароджваем толькі першага рэпарцёра ўразлівасці. Публічнае раскрыццё ўразлівасці не дазваляецца і адмяняе чакае ўзнагароджанне. Мы пакідаем за сабой права дыскваліфікаваць асобных удзельнікаў праграмы за непаважлівае альбо дэструктыўнае паводзіны.

Мы не будзем весці перамовы ў адказ на прымус альбо пагрозы (напрыклад,, мы не будзем весці перамовы аб суме выплат пад пагрозай утрымання ўразлівасці альбо пагрозы вызвалення ўразлівасці альбо якіх-небудзь адкрытых дадзеных для грамадскасці).

Па-за межамі ўразлівасці

Наступныя выпускі выходзяць за рамкі нашай праграмы ўзнагароджання:

  • Наша палітыка ў дачыненні да наяўнасці / адсутнасці запісаў SPF / DMARC.
  • пароль, па электроннай пошце, і палітыкі ўліковага запісу, напрыклад, праверка ідэнтыфікатара электроннай пошты, скінуць тэрмін дзеяння спасылкі, складанасць пароля.
  • Адсутнасць токенаў CSRF (калі няма доказаў фактычнага, адчувальныя дзеянні карыстальніка, не абароненыя маркерам).
  • Уваход / выхад CSRF.
  • Атакі, якія патрабуюць фізічнага доступу да прылады карыстальніка.
  • Адсутнічаюць загалоўкі бяспекі, якія не вядуць непасрэдна да ўразлівасці.
  • Адсутнічаюць лепшыя практыкі (нам патрэбныя доказы ўразлівасці бяспекі).
  • Self-XSS (нам патрэбныя доказы таго, як XSS можа быць выкарыстаны ў атацы).
  • Ін'екцыі загалоўка гаспадара, калі вы не можаце паказаць, як яны могуць прывесці да крадзяжу дадзеных.
  • Выкарыстанне вядомай уразлівай бібліятэкі (без доказаў эксплуатацыі).
  • Пытанні, звязаныя з праграмным забеспячэннем, якое не ўваходзіць у сістэму LogMeOnce.
  • Справаздачы з аўтаматызаваных інструментаў або сканаванняў.
  • Паведамленні пра спам (г.зн., любы справаздачу, якая ўключае магчымасць адпраўкі лістоў без абмежаванняў на хуткасць).
  • Атакі, для якіх прыкладанне зламысніка павінна мець дазвол накласці зверху нашага прыкладання (напрыклад,, краны).
  • Уразлівасці, якія ўплываюць на карыстальнікаў састарэлых браўзэраў або платформаў.
  • Сацыяльная інжынерыя супрацоўнікаў LogMeOnce альбо падрадчыкаў.
  • Любыя фізічныя спробы супраць уласнасці LogMeOnce альбо цэнтраў апрацоўкі дадзеных.
  • Наяўнасць атрыбута аўтазапаўнення ў вэб-формах.
  • Адсутнічаюць сцяжкі печыва на неадчувальных кукі.
  • Справаздачы аб небяспечных шыфрах SSL / TLS (калі ў вас няма дзеючых доказаў канцэпцыі, а не проста справаздачы са сканера).
  • Любы доступ да дадзеных, дзе мэтавы карыстальнік павінен працаваць на ўкаранёнай мабільнай прыладзе.
  • Любы справаздачу пра згон DLL, не дэманструючы, як ён атрымлівае новыя прывілеі, таксама выходзіць за рамкі.
  • Любы справаздачу пра тое, як рашэнні LogMeOnce можна выкарыстоўваць для абслугоўвання шкоднасных праграм.
  • Уразлівасці падмены змесціва (дзе вы можаце толькі ўводзіць тэкст альбо малюнак на старонку) знаходзяцца па-за рамкамі.
  • Мы прымем і ўхілім уразлівасць, звязаную з падробкай, дзе зламыснік можа ўнесці малюнак альбо ўзбагачаны тэкст (HTML), але ён не мае права на атрыманне шчодрасці. Увядзенне чыстага тэксту па-за рамкамі.
  • Магчымасць абмену спасылкамі без праверкі электроннай пошты.
  • Адсутнасць абмежавання хуткасці, калі гэта не звязана з праверкай сапраўднасці.
  • Адлюстраваныя ўразлівасці загрузкі файлаў альбо любыя ўразлівасці, якія дазваляюць пачаць загрузку на кампутар карыстальніка, па-за рамкамі.
  • Сканаванне IP / порта праз паслугі LogMeOnce, калі вы не зможаце атрымаць доступ да прыватных IP-адрасоў або сервераў LogMeOnce.
  • Прылады (ios, андроіда, настольныя праграмы) не атрымліваецца развязаць пры змене пароля.
  • Увядзенне гіперспасылак альбо любое ўвядзенне спасылак у электронных лістах, якія мы адпраўляем.
  • Стварэнне некалькіх уліковых запісаў з выкарыстаннем адной і той жа электроннай пошты таксама выходзіць за рамкі.
  • Рызыка фішынгу праз праблемы з юнікодам / панікодам альбо RTLO.
  • Магчымасць загрузкі файлаў з няправільным пашырэннем у Chooser.
  • Можна рэдагаваць вікі Github.

Нататкі аб прадстаўленнях SSRF

Перад падачай справаздачы SSRF, калі ласка, пераканайцеся, што адказ, які вы атрымліваеце, не супадае:

  • скід
  • HTTP / 1.1 403 Забаронена

Любы з гэтых адказаў звычайна паказвае на тое, што ваш запыт быў заблакаваны і не з'яўляецца сапраўдным SSRF.

Наступствы захавання гэтай палітыкі

Мы не будзем узбуджаць грамадзянскую справу альбо падаць скаргу ў праваахоўныя органы за выпадковасць, добрасумленныя парушэнні гэтай палітыкі. Мы лічым дзейнасць, якая праводзіцца ў адпаведнасці з гэтай палітыкай, складаць "дазволенае" паводзіны ў адпаведнасці з Законам аб махлярстве і злоўжыванні камп'ютэрам. Наколькі ваша дзейнасць не адпавядае пэўным абмежаванням у нашай Палітыцы дапушчальнага выкарыстання, мы адмаўляемся ад гэтых абмежаванняў з мэтай дазволу даследаванняў бяспекі ў адпаведнасці з гэтай палітыкай. Мы не будзем прад'яўляць вам патрабаванне DMCA за абыход тэхналагічных мер, якія мы выкарыстоўвалі для абароны прыкладанняў.

Калі супраць вас распачатая юрыдычная справа трэцяя бок, і вы выканалі палітыку Log Beynce Log Bounty, LogMeOnce прыме меры, каб паведаміць, што вашы дзеянні праводзіліся ў адпаведнасці з гэтай палітыкай.

Дробны шрыфт

Вы нясеце адказнасць за выплату падаткаў, звязаных з узнагародамі. Мы можам змяніць умовы гэтай праграмы альбо спыніць яе ў любы час. Мы не будзем прымяняць якія-небудзь змены, якія мы ўносім у гэтыя ўмовы праграмы, заднім чыслом. Паведамленні ад асоб, якім мы забароненыя плаціць па законе, не могуць атрымаць узнагароды. Супрацоўнікі LogMeOnce і члены іх сям'і не маюць права на атрыманне выгады.

Рэпартаж

Адправіць усе звесткі на [email protected] з тэмай "Раскрыццё ўразлівасці LogMeOnce".

Укажыце сапраўдны дзелавы адрас электроннай пошты, і профіль у сацыяльных сетках.

Выключэнні

Калі не пазначана іншае, у гэтай палітыцы няма выключэнняў.

Перыяд захавання працэдуры: Пастаянна, альбо пакуль не выцеснены.

Цыкл перагляду / агляду: Гадавы

Звярніце ўвагу, што гэтая палітыка / працэдура можа быць перагледжана ўладальнікам альбо іншай упаўнаважанай асобай у любы час. Адзначаны тут прамежак часу ўстанавіў максімальны час, якое можа прайсці з даты выдачы да таго, як працэдура будзе па меншай меры праверана на прадмет дакладнасці і адпаведнасці.

Дата перагляду: 08-2020

blender bitcoin cryptomixer best bitcoin mixer