Politiko pri Malkaŝado de Vundebleco

Hejmo - Politiko pri Malkaŝado de Vundebleco

Resumo

Ĉiutage kreiĝas novaj sekurecaj problemoj kaj ciber-sekurecaj atakoj. LogMeOnce utiligas pintnivelajn sekurecajn evoluojn laborante kun sekurecaj esploristoj kaj kompanioj. La celo de ĉi tiu dokumento estas skizi la kondiĉojn, laŭ kiuj ni pagos premiojn; por etike raportitaj cimoj.

Politiko

Konservi sekurajn informojn pri uzantoj estas ĉefa prioritato kaj kerna principo ĉe LogMeOnce. Ni bonvenigas la kontribuon de eksteraj sekurecaj esploristoj kaj antaŭĝojas premi ilin pro ilia valorega kontribuo al la sekureco de ĉiuj dungitoj kaj uzantoj de LogMeOnce.

Rekompencoj

LogMeOnce provizas rekompencojn al vundeblaj raportistoj laŭ sia bontrovo (vidu taŭge "Raportado"). Nia rekompenco estas $30 USD por malalta efiko, $50 USD por meza efiko. Rekompencaj kvantoj povas varii laŭ la severeco de la raportita vundebleco kaj la kvalito de la raporto. Memoru, ke ĉi tio ne estas konkurso aŭ konkurso.

Aplikoj en Amplekso

Ekstere alfrontantaj LogMeOnce-solvoj kaj nuntempe subtenataj LogMeOnce-produktoj ampleksas.

Kvalifiko kaj Respondeca Malkaŝo

Antaŭenigi la malkovron kaj raportadon de vundeblecoj kaj pliigi sekurecon de uzanto, ni petas vin:

  • Agu bonfide por eviti privatajn malobservojn, detruo de datumoj, kaj interrompo aŭ malplibonigo de niaj servoj (inkluzive de neado de servo);
  • Ne aliru aŭ modifas niajn datumojn aŭ la datumojn de niaj uzantoj, sen la eksplicita permeso de la posedanto. Interagu nur kun viaj propraj kontoj aŭ testokontoj por sekurecaj esploraj celoj;
  • Kontaktu nin tuj se vi senintence renkontas uzantajn datumojn. Ne vidu, ŝanĝi, savi, vendejo, translokigo, aŭ alimaniere aliru la datumojn, kaj tuj purigi ajnan lokan informon raportinte la vundeblecon al LogMeOnce;
  • Bonvolu respekti niajn ekzistantajn programojn. Spamaj formoj per aŭtomataj vundeblaj skaniloj ne rezultigos iun premion aŭ premion, ĉar tiuj estas eksplicite ekster la amplekso.;
  • Kunhavigu la sekurecan problemon kun ni detale;
  • Donu al ni racian tempon respondi al la afero; kaj
  • Alie plenumu ĉiujn aplikeblajn leĝojn.

Ni nur rekompencas la unuan raportiston pri vundebleco. Publika malkaŝo de la vundebleco ne estas permesita kaj nuligos pritraktatan rekompencon. Ni rezervas la rajton malkvalifiki individuojn de la programo pro malrespekta aŭ interrompa konduto.

Ni ne negocos responde al devigo aŭ minacoj (ekz-e, ni ne negocos la pagan sumon sub minaco reteni la vundeblecon aŭ minacon liberigi la vundeblecon aŭ iujn ajn elmontritajn datumojn al la publiko).

Nediskuteblaj Vundeblecoj

La jenaj numeroj estas ekster la amplekso de nia rekompensa programo:

  • Niaj politikoj pri ĉeesto / foresto de registroj SPF / DMARC.
  • Pasvorto, retpoŝto, kaj kontaj politikoj, kiel retpoŝta identigo, reagordi ligofinon, pasvorta komplekseco.
  • Manko de CSRF-tokensoj (krom se ekzistas pruvoj pri reala, sentema uzanto ne protektita per signo).
  • Ensaluti / elsaluti CSRF.
  • Atakoj postulantaj fizikan aliron al la aparato de uzanto.
  • Mankas sekurecaj titoloj, kiuj ne kondukas rekte al vundebleco.
  • Mankas plej bonaj praktikoj (ni postulas atestojn pri sekureca vundebleco).
  • Mem-XSS (ni postulas pruvojn pri kiel la XSS uzeblas en atako).
  • Gastigu titolajn injektojn krom se vi povas montri kiel ili povas konduki al ŝtelado de datumoj.
  • Uzo de konata-vundebla biblioteko (sen evidenteco de ekspluateblo).
  • Temoj rilataj al kaleska ne-LogMeOnce programaro.
  • Raportoj de aŭtomataj iloj aŭ skanadoj.
  • Raportoj pri spamo (t.e., iu ajn raporto pri la kapablo sendi retpoŝtojn sen imposto-limoj).
  • Atakoj, kiuj postulas la atakan programon havi la permeson kovri super nia programo (ekz-e, tapjacking).
  • Vundeblecoj influantaj uzantojn de malmodernaj retumiloj aŭ platformoj.
  • Socia inĝenierado de dungitoj aŭ kontraktistoj de LogMeOnce.
  • Ajna fizika provo kontraŭ LogMeOnce posedaĵo aŭ datumcentroj.
  • Ĉeesto de aŭtokompleta atributo en retaj formularoj.
  • Mankas kuketaj flagoj ĉe nesentemaj kuketoj.
  • Raportoj pri nesekuraj ĉifroj SSL / TLS (krom se vi havas funkcian pruvan koncepton kaj ne nur raporton de skanilo).
  • Ajna aliro al datumoj, kie la celata uzanto bezonas funkciigi enradikigitan poŝtelefonon.
  • Ĉiu raporto pri DLL-kaperado sen pruvi kiel ĝi akiras novajn privilegiojn ankaŭ estas ekster amplekso.
  • Ajna raporto pri kiel LogMeOnce-solvoj povas esti uzataj por servi malware.
  • Enhavo-falsaj vundeblecoj (kie vi povas injekti nur tekston aŭ bildon en paĝon) estas ekster la amplekso.
  • Ni akceptos kaj solvos falsan vundeblecon, kie atakanto povas injekti bildon aŭ riĉan tekston (HTML), sed ĝi ne rajtas ricevi premion. Pura tekstinjekto ne estas atingebla.
  • Kapablo dividi ligojn sen kontroli retpoŝton.
  • Foresto de imposto-limigo, krom se rilate al aŭtentikigo.
  • Malfortaj reflektaj dosieraj elŝutoj aŭ iuj ajn vundeblecoj, kiuj permesas al vi komenci elŝuton al la komputilo de la uzanto, ne plu atingas.
  • IP / Havena Skanado per LogMeOnce-servoj krom se vi kapablas bati privatajn IP-ojn aŭ LogMeOnce-servilojn.
  • Aparatoj (ioj, android, labortablaj programoj) ne senligiĝante pri pasvorta ŝanĝo.
  • Hiperliga injekto aŭ iu ajn liginjekto en retpoŝtoj, kiujn ni sendas.
  • Krei plurajn kontojn per la sama retpoŝto ankaŭ estas ekster la amplekso.
  • Phishing-risko per unikodaj / punkodaj aŭ RTLO-problemoj.
  • Povi alŝuti dosierojn kun malĝusta etendaĵo en elektilo.
  • Redakteblaj Github-vikioj.

Notoj pri Subskriboj de SSRF

Antaŭ ol sendi raporton pri SSRF, bonvolu certigi, ke la respondo, kiun vi ricevas, estas nek:

  • reagordi
  • HTTP / 1.1 403 Malpermesita

Ĉiu el ĉi tiuj respondoj kutime indikas, ke via peto estis blokita kaj ne estas valida SSRF.

Sekvoj de Observado de Ĉi tiu Politiko

Ni ne persekutos civilan agon aŭ iniciatos plendon al policoj pro akcidenta, bonfidaj malobservoj de ĉi tiu politiko. Ni konsideras ke agadoj faritaj kongrue kun ĉi tiu politiko konsistigas "rajtigitan" konduton laŭ la Leĝo pri Komputila Fraŭdo kaj Misuzo. Tiom kiom viaj agadoj ne kongruas kun iuj limigoj en nia Akceptebla Uza Politiko, ni rezignas pri tiuj limigoj por la limigita celo permesi sekurecan esploradon laŭ ĉi tiu politiko. Ni ne alportos DMCA-reklamon kontraŭ vi, ĉar vi evitas la teknologiajn rimedojn, kiujn ni uzis por protekti la aplikojn.

Se jura proceso estas komencita de tria kontraŭ vi kaj vi plenumis la politikon pri Bug Bounty de LogMeOnce, LogMeOnce prenos paŝojn por sciigi, ke viaj agoj estis faritaj konforme al ĉi tiu politiko.

La Bona Presaĵo

Vi respondecas pagi iujn ajn impostojn asociitajn kun rekompencoj. Ni rajtas modifi la kondiĉojn de ĉi tiu programo aŭ ĉesigi ĉi tiun programon iam ajn. Ni ne aplikos iujn ajn ŝanĝojn, kiujn ni faras al ĉi tiuj programaj kondiĉoj retroaktive. Raportoj de individuoj, kiujn laŭleĝe malpermesas al ni pagi, ne rajtas ricevi kompensojn. LogMeOnce-dungitoj kaj iliaj familianoj ne rajtas ricevi premiojn.

raportado

Sendu ĉiujn detalojn al [email protected] kun la temo "LogMeOnce Vulnerability Disclosure".

Bonvolu inkluzivi validan komercan retpoŝtan adreson, kaj socia amaskomunikila profilo.

Esceptoj

Krom kiel alie dirite, ne estas esceptoj al ĉi tiu politiko.

Procedura Retena Periodo: Konstante, aŭ ĝis anstataŭita.

Revizia / Revizia Ciklo: Ĉiujara

Notu, ke ĉi tiu politiko / proceduro povas esti reviziita iam ajn de la posedanto aŭ alia rajtigita partio. La tempo menciita ĉi tie establis la maksimuman tempon, kiu povas pasi ekde la dato de eldono antaŭ ol la proceduro estas almenaŭ reviziita por ĝusteco kaj graveco.

Revizia Dato: 08-2020