Политика за разкриване на уязвимости

У дома - Политика за разкриване на уязвимости

Обобщение

Всеки ден се създават нови проблеми със сигурността и атаки за киберсигурност. LogMeOnce използва съвременни разработки в областта на сигурността, като работи с изследователи и компании за сигурност. Целта на този документ е да очертае условията и реда, при които ще плащаме щедрости; за етично докладвани грешки.

политика

Поддържането на потребителската информация в безопасност е основен приоритет и основен принцип в LogMeOnce. Приветстваме приноса на външни изследователи по сигурността и с нетърпение очакваме да ги наградим за техния безценен принос към сигурността на всички служители и потребители на LogMeOnce.

Награди

LogMeOnce предоставя награди на докладващите за уязвимости по свое усмотрение (вижте правилно „Отчитане“). Нашата награда е $30 USD за ниско въздействие, $50 USD за средно въздействие. Сумите за награди могат да варират в зависимост от тежестта на докладваната уязвимост и качеството на отчета. Имайте предвид, че това не е състезание или състезание.

Приложения в обхвата

Външните решения LogMeOnce и поддържаните в момента продукти LogMeOnce са в обхвата.

Допустимост и отговорно разкриване

Да насърчава откриването и докладването на уязвимости и да повиши безопасността на потребителите, ние искаме от вас:

  • Действайте добросъвестно, за да избегнете нарушения на поверителността, унищожаване на данни, и прекъсване или влошаване на нашите услуги (включително отказ за обслужване);
  • Не влизайте и не променяйте нашите данни или данните на нашите потребители, без изричното разрешение на собственика. Взаимодействайте само със собствените си акаунти или тествайте акаунти само с цел проучване на сигурността;
  • Свържете се с нас незабавно, ако случайно срещнете потребителски данни. Не гледайте, промяна, запази, магазин, прехвърляне, или да получите достъп по друг начин до данните, и незабавно изчистете всяка местна информация след докладване на уязвимостта на LogMeOnce;
  • Моля, уважавайте съществуващите ни приложения. Спам формулярите чрез автоматични скенери за уязвимост няма да доведат до награда или награда, тъй като те изрично са извън обхвата;
  • Споделете проблема със сигурността с нас подробно;
  • Дайте ни разумно време да отговорим на проблема; и
  • В противен случай спазвайте всички приложими закони.

Ние награждаваме само първия докладчик за уязвимост. Публично разкриване на уязвимостта не е разрешено и ще отмени чакащо възнаграждение. Запазваме си правото да дисквалифицираме лица от програмата за неуважително или разрушително поведение.

Няма да водим преговори в отговор на принуда или заплахи (e.g., няма да договаряме размера на изплащането под заплаха от задържане на уязвимостта или заплаха от освобождаване на уязвимостта или каквито и да било изложени данни на обществеността).

Уязвимости извън обхвата

Следните въпроси са извън обхвата на нашата програма за награди:

  • Нашите политики относно наличието / отсъствието на SPF / DMARC записи.
  • парола, електронна поща, и политики на акаунта, като например проверка на имейл имейл, нулиране на изтичането на връзката, сложност на паролата.
  • Липса на CSRF токени (освен ако няма доказателства за действително, чувствително действие на потребителя, което не е защитено с маркер).
  • Вход / изход CSRF.
  • Атаки, изискващи физически достъп до устройството на потребителя.
  • Липсват заглавки на защитата, които не водят директно до уязвимост.
  • Липсващи най-добри практики (изискваме доказателства за уязвимост в сигурността).
  • Self-XSS (изискваме доказателства за това как XSS може да се използва при атака).
  • Хоствайте инжекции със заглавки, освен ако не можете да покажете как те могат да доведат до кражба на данни.
  • Използване на известна уязвима библиотека (без доказателства за експлоатация).
  • Проблеми, свързани с бъги софтуер, който не е LogMeOnce.
  • Доклади от автоматизирани инструменти или сканирания.
  • Доклади за спам (т.е., всеки доклад, включващ възможността за изпращане на имейли без ограничения на тарифите).
  • Атаки, които изискват приложението на нападателя да има разрешение за наслагване върху нашето приложение (e.g., подслушване).
  • Уязвимости, засягащи потребители на остарели браузъри или платформи.
  • Социално инженерство на служители или изпълнители на LogMeOnce.
  • Всички физически опити срещу свойство LogMeOnce или центрове за данни.
  • Наличие на атрибут за автоматично довършване в уеб формуляри.
  • Липсващи знамена за бисквитки на нечувствителни бисквитки.
  • Доклади за несигурни SSL / TLS шифри (освен ако нямате работещо доказателство за концепцията, а не само отчет от скенер).
  • Всеки достъп до данни, при който целевият потребител трябва да работи с вкоренено мобилно устройство.
  • Всеки доклад за отвличане на DLL, без да се демонстрира как той получава нови привилегии, също е извън обхвата.
  • Всеки доклад за това как решенията LogMeOnce могат да се използват за обслужване на зловреден софтуер.
  • Уязвимости за подправяне на съдържание (където можете да инжектирате само текст или изображение в страница) са извън обхвата.
  • Ще приемем и разрешим фалшива уязвимост, при която нападателят може да инжектира изображение или обогатен текст (HTML), но не отговаря на условията за награда. Инжектирането на чист текст е извън обхвата.
  • Възможност за споделяне на връзки без проверка на имейл.
  • Липса на ограничаване на скоростта, освен ако не са свързани с удостоверяване.
  • Отразени уязвимости за изтегляне на файлове или всякакви уязвимости, които ви позволяват да започнете изтегляне на компютъра на потребителя, са извън обхвата.
  • Сканиране на IP / порт чрез услугите LogMeOnce, освен ако не можете да ударите частни IP адреси или LogMeOnce сървъри.
  • Устройства (ios, android, настолни приложения) не се връзва при промяна на паролата.
  • Инжектиране на хипервръзка или каквато и да е инжекция на линкове в имейли, които изпращаме.
  • Създаването на множество акаунти с помощта на един и същ имейл също е извън обхвата.
  • Риск от фишинг чрез проблеми с unicode / punycode или RTLO.
  • Възможност за качване на файлове с грешно разширение в Chooser.
  • Редактируеми Github уикита.

Бележки относно подадените SSRF

Преди да изпратите SSRF доклад, моля, уверете се, че отговорът, който получавате, не е нито един от двамата:

  • нулиране
  • HTTP / 1.1 403 Забранен

Всеки от тези отговори обикновено показва, че заявката ви е блокирана и не е валиден SSRF.

Последици от спазването на тази политика

Няма да водим граждански иск или да подаваме жалба до правоприлагащите органи за случайно, добросъвестни нарушения на тази политика. Считаме, че дейностите, проведени в съответствие с тази политика, представляват „разрешено“ поведение съгласно Закона за компютърните измами и злоупотреби. Доколкото вашите дейности са в противоречие с определени ограничения в нашата Политика за допустимо използване, ние се отказваме от тези ограничения с ограничената цел да позволим проучване на сигурността съгласно тази политика. Няма да предявим иск за DMCA срещу вас за заобикаляне на технологичните мерки, които използвахме за защита на обхвата на приложенията.

Ако съдебно дело е инициирано от трета страна срещу вас и сте спазили правилата на LogMeOnce за Bounty, LogMeOnce ще предприеме стъпки, за да информира, че действията ви са извършени в съответствие с тази политика.

Финият печат

Вие носите отговорност за плащането на всички данъци, свързани с награди. Ние можем да модифицираме условията на тази програма или да я прекратим по всяко време. Няма да прилагаме промени, които правим в тези програмни условия с обратна сила. Доклади от лица, на които ни е забранено от закона да плащаме, не отговарят на условията за награди. Служителите на LogMeOnce и членовете на техните семейства не отговарят на условията за награди.

Докладване

Изпратете всички подробности на [email protected] с темата „LogMeOnce Разкриване на уязвимост“.

Моля, включете валиден служебен имейл адрес, и профил в социалните медии.

Изключения

Освен ако не е посочено друго, няма изключения от тази политика.

Период на задържане на процедурата: Постоянно, или до заместване.

Цикъл на ревизия / преглед: Годишен

Имайте предвид, че тази политика / процедура може да бъде преразгледана по всяко време от собственика или друга упълномощена страна. Тук отбелязаният период от време установява максималното време, което може да изтече от датата на издаване, преди процедурата да бъде поне прегледана за точност и уместност.

Дата на контрол: 08-2020

биткойн блендер криптомиксер най -добрият миксер за биткойни