Haavatavuse avalikustamise poliitika

Kodu - Haavatavuse avalikustamise poliitika

Kokkuvõte

Iga päev luuakse uusi turvaküsimusi ja küberturvalisuse rünnakuid. LogMeOnce kasutab tipptasemel julgeolekuarendusi, tehes koostööd turvauurijate ja ettevõtetega. Selle dokumendi eesmärk on kirjeldada tingimusi, mille alusel me rahalisi vahendeid maksame; eetiliselt teatatud vigade eest.

Poliitika

Kasutajateabe turvaline ja turvaline hoidmine on LogMeOnce'i peamine prioriteet ja põhimõte. Tervitame välisturvalisuse uurijate panust ja ootame neid autasustama hindamatu panuse eest kõigi LogMeOnce'i töötajate ja kasutajate turvalisusse.

Preemiad

LogMeOnce pakub haavatavuse reporteritele oma äranägemisel hüvesid (vaata korralikult „Aruandlus“). Meie tasu on $30 USD madala mõju korral, $50 USD keskmise mõju korral. Preemiasummad võivad varieeruda sõltuvalt teatatud haavatavuse tõsidusest ja aruande kvaliteedist. Pidage meeles, et see pole võistlus ega võistlus.

Rakendused reguleerimisalas

Väljapoole suunatud LogMeOnce'i lahendused ja praegu toetatavad LogMeOnce'i tooted on reguleerimisalasse kuuluvad.

Abikõlblikkus ja vastutustundlik avalikustamine

Edendada haavatavuste avastamist ja nendest teatamist ning suurendada kasutajate ohutust, palume teil:

  • Privaatsuse rikkumiste vältimiseks tegutsege heauskselt, andmete hävitamine, meie teenuste katkestamine või halvenemine (sealhulgas teenuse andmisest keeldumine);
  • Ärge pääsege juurde ega muutke meie ega kasutajate andmeid, ilma omaniku selgesõnalise loata. Turvauuringute eesmärgil saate suhelda ainult oma kontode või testkontodega;
  • Kui kogemata satute kasutajaandmetega, võtke meiega kohe ühendust. Ärge vaadake, muuta, salvesta, pood, üleandmine, või muul viisil andmetele juurde pääseda, ja puhastage viivitamatult kogu kohalik teave, teatades haavatavusest LogMeOnce'ile;
  • Palun austage meie olemasolevaid rakendusi. Vormide rämpspost automatiseeritud haavatavuse skannerite kaudu ei too kaasa mingit preemiat ega auhinda, kuna need on sõnaselgelt reguleerimisalast väljas;
  • Jagage turvaküsimust meiega üksikasjalikult;
  • Andke meile mõistlik aeg probleemile reageerimiseks; ja
  • Vastasel juhul järgige kõiki kehtivaid seadusi.

Premeerime ainult haavatavuse esimest reporterit. Haavatavuse avalik avaldamine pole lubatud ja see tühistab ootel oleva tasu. Me jätame endale õiguse üksikisikud programmist diskvalifitseerida lugupidamatu või häiriva käitumise eest.

Me ei pea läbirääkimisi vastuseks sundusele või ähvardustele (näiteks, me ei pea läbirääkimisi väljamakse summa üle, kui ähvardame haavatavuse varjamist või haavatavuse või avalikustatavate andmete avalikustamist.).

Reguleerimisala alt haavatavused

Järgmised probleemid jäävad meie preemiaprogrammi reguleerimisalast välja:

  • Meie eeskirjad SPF / DMARC kirjete olemasolu / puudumise kohta.
  • parool, e-post, ja konto eeskirjad, näiteks e-posti aadressi kinnitamine, lähtestage lingi aegumine, parooli keerukus.
  • CSRF-i märkide puudumine (kui pole tõendeid tegeliku kohta, tundlik kasutaja tegevus, mida pole märgiga kaitstud).
  • Logi sisse / väljalogimine CSRF.
  • Rünnakud, mis vajavad füüsilist juurdepääsu kasutaja seadmele.
  • Puuduvad turvapäised, mis ei vii otseselt haavatavuseni.
  • Parimad tavad puuduvad (vajame tõendeid turvanõrkuse kohta).
  • Ise-XSS (vajame tõendeid selle kohta, kuidas XSS-i saab rünnakul kasutada).
  • Hosti päisesüstid, kui te ei suuda näidata, kuidas need võivad andmeid varastada.
  • Tuntud haavatavate raamatukogude kasutamine (ilma tõenditeta kasutatavusest).
  • Lollakas mitte-LogMeOnce tarkvaraga seotud probleemid.
  • Automatiseeritud tööriistade või skannimiste aruanded.
  • Teatised rämpspostist (st, kõik aruanded, mis hõlmavad võimalust saata e-kirju ilma piirmääradeta).
  • Rünnakud, mis nõuavad, et ründaja rakendusel oleks luba meie rakenduse peal asetada (näiteks, tapjacking).
  • Vananenud brauserite või platvormide kasutajaid mõjutavad haavatavused.
  • LogMeOnce'i töötajate või töövõtjate sotsiaalne projekteerimine.
  • Mis tahes füüsilised katsed LogMeOnce'i vara või andmekeskuste vastu.
  • Automaatse täitmise atribuudi olemasolu veebivormides.
  • Mittetundlikel küpsistel puuduvad küpsisemärgid.
  • Ebaturvaliste SSL / TLS-šifrite aruanded (välja arvatud juhul, kui teil on töötav kontseptsioonitõend ja mitte ainult skanneri aruanne).
  • Igasugune juurdepääs andmetele, kus sihitud kasutaja peab töötama juurdunud mobiilseadmega.
  • Samuti ei kuulu kõik aruanded DLL-i kaaperdamise kohta, näitamata, kuidas see uusi privileege omandab.
  • Kõik aruanded selle kohta, kuidas LogMeOnce'i lahendusi saab kasutada pahavara teenimiseks.
  • Sisu võltsimise haavatavused (kus saate lehele sisestada ainult teksti või pilti) on reguleerimisalast väljas.
  • Nõustume ja lahendame võltsitud haavatavuse, kus ründaja saab süstida pilti või rikastatud teksti (HTML), kuid see pole kõlbulik. Puhas teksti sisestamine ei kuulu reguleerimisalasse.
  • Võimalus linke jagada ilma e-posti aadressi kinnitamata.
  • Kiiruse piiramise puudumine, kui see pole seotud autentimisega.
  • Peegeldunud failide allalaadimise haavatavus või kõik haavatavused, mis võimaldavad teil alustada kasutaja arvutisse allalaadimist, ei kuulu reguleerimisalasse.
  • IP / pordi skannimine LogMeOnce'i teenuste kaudu, välja arvatud juhul, kui teil on võimalik lüüa privaatseid IP-sid või LogMeOnce'i servereid.
  • Seadmed (ios, android, töölauarakendused) parooli muutmisel ei ühendata.
  • Hüperlingi süstimine või mis tahes lingi süstimine meie saadetud meilides.
  • Mitme konto loomine sama e-posti aadressiga on samuti reguleerimisalast väljas.
  • Andmepüügirisk unicode / punycode'i või RTLO probleemide kaudu.
  • Valiku vale laiendiga failide üleslaadimine.
  • Redigeeritavad Githubi vikid.

Märkused SSRF-i esitamise kohta

Enne SSRF-i aruande esitamist, palun veenduge, et teie vastus ei oleks kumbki:

  • lähtestamine
  • HTTP / 1.1 403 Keelatud

Mõlemad neist vastustest näitavad tavaliselt, et teie taotlus on blokeeritud ega ole kehtiv SSRF.

Selle poliitika järgimise tagajärjed

Me ei hakka tsiviilhagi esitama ega juhuste kohta õiguskaitseorganitele kaebust esitama, selle poliitika hea usu rikkumisi. Leiame, et selle poliitikaga kooskõlas olevad tegevused kujutavad endast arvutipettuste ja väärkasutuse seaduse kohast "volitatud käitumist". Kuivõrd teie tegevus on vastuolus meie lubatava kasutamise eeskirja teatud piirangutega, loobume nendest piirangutest piiratud eesmärgil, et lubada selle poliitika kohaseid turvauuringuid. Me ei esita teie vastu DMCA nõuet möödalaskmise eest tehnoloogilistest meetmetest, mida oleme kohaldamisalasse kuuluvate rakenduste kaitsmiseks kasutanud.

Kui kolmanda osapoole poolt on teie vastu algatatud kohtumenetlus ja olete järginud LogMeOnce'i veaparameetrite poliitikat, LogMeOnce astub samme teatavaks tegemiseks, et teie toimingud toimusid vastavalt sellele poliitikale.

Peentrükk

Teie vastutate preemiatega seotud maksude tasumise eest. Võime selle programmi tingimusi muuta või selle igal ajal lõpetada. Me ei rakenda nendes programmitingimustes tehtud muudatusi tagasiulatuvalt. Avaldused isikutelt, kelle maksmine on meil seadusega keelatud, on preemiate saamiseks kõlbmatud. LogMeOnce'i töötajad ja nende pereliikmed ei saa soodustusi kasutada.

Reporting

Saada kõik üksikasjad aadressile [email protected]ogMeOnce.com teemareal “LogMeOnce haavatavuse avalikustamine”.

Sisestage kehtiv ettevõtte e-posti aadress, ja sotsiaalmeedia profiil.

Erandid

Kui ei ole öeldud teisiti, sellest poliitikast pole erandeid.

Protseduuri säilitamise periood: Püsivalt, või kuni asendamiseni.

Läbivaatamise / ülevaatamise tsükkel: Iga-aastane

Pange tähele, et omanik või muu volitatud osapool saab seda reeglit / protseduuri igal ajal vaadata. Siin märgitud ajavahemik määras maksimaalse aja, mis võib kuluda alates väljaandmise kuupäevast, enne kui protseduuri täpsus ja asjakohasus on vähemalt üle vaadatud.

Läbivaatamise kuupäev: 08-2020

bitcoini segisti krüptomikser parim bitcoini mikser