Ahultasuna ezagutzera emateko politika

Hasiera - Ahultasuna ezagutzera emateko politika

Laburpen

Egunero sortzen dira segurtasun arazo berriak eta segurtasun zibernetikoaren erasoak. LogMeOnce-k punta-puntako segurtasun garapenak erabiltzen ditu segurtasun ikertzaileekin eta enpresekin lan eginez. Dokumentu honen xedea da sarietan ordainduko ditugun baldintzak eta baldintzak zehaztea; etikoki salatutako akatsetarako.

Politika

Erabiltzaileen informazioa seguru eta seguru mantentzea da lehentasun nagusia eta oinarrizko printzipioa LogMeOnce-n. Kanpoko segurtasuneko ikertzaileen ekarpena pozik gaude eta espero dugu LogMeOnce langile eta erabiltzaile guztien segurtasunean egindako ekarpen eskergagatik saritzea..

Sariak

LogMeOnce ahultasun berriemaileei sariak eskaintzen dizkio bere nahierara (ikusi behar bezala "Txostenak"). Gure saria da $30 USD inpaktu txikiagatik, $50 USD inpaktu ertainerako. Sari kopurua aldatutako ahultasunaren larritasunaren eta txostenaren kalitatearen arabera alda daiteke. Gogoan izan ez dela lehiaketa edo lehiaketa.

Aplikazioak esparruan

Kanpotik begira LogMeOnce irtenbideak eta gaur egun onartzen diren LogMeOnce produktuak esparruan daude.

Hautagarritasuna eta dibulgazio arduratsua

Ahultasunen aurkikuntza eta salaketa sustatzeko eta erabiltzaileen segurtasuna areagotzeko, eskatzen dizugu:

  • Fede onez jokatu pribatutasun urraketak ekiditeko, datuak suntsitzea, eta gure zerbitzuak etetea edo hondatzea (zerbitzua ukatzea barne);
  • Ez sartu edo aldatu gure datuak edo erabiltzaileen datuak, jabearen baimen espliziturik gabe. Segurtasuna ikertzeko, zure kontuekin edo probako kontuekin elkarreragin ezazu;
  • Jarri gurekin harremanetan berehala erabiltzaileen datuak nahi gabe topatzen badituzu. Ez ikusi, aldatu, gorde, denda, transferentzia, edo bestela datuetara sartu, eta berehala garbitu tokiko edozein informazio ahultasuna LogMeOnce-ra salatu ondoren;
  • Mesedez, errespetatu gure aplikazioekin. Ahultasun eskaner automatizatuen bidez spamaren inprimakiek ez dute inolako sari edo saririk eragingo, horiek esplizituki kanpo daudelako.;
  • Partekatu segurtasun arazoa gurekin zehatz-mehatz;
  • Eman iezaguzu arrazoizko denbora arazoari erantzuteko; eta
  • Bestela, aplikatu beharreko lege guztiak bete.

Ahultasun baten lehen berriemailea soilik saritzen dugu. Ez da onartzen ahultasunaren jendaurrean eta zain dagoen sari bat bertan behera utziko da. Pertsonak programatik deskalifikatzeko eskubidea erreserbatzen dugu jokabide errespetugabea edo nahasgarria dela eta.

Ez dugu negoziatuko estutasun edo mehatxuei erantzuteko (adibidez, ez dugu negoziatuko ordainketaren zenbatekoa ahultasuna atxikitzeko edo ahultasuna edo agerian dauden datuak jendaurrean uzteko mehatxupean.).

Esparruaz kanpoko ahultasunak

Ondorengo gaiak gure sari programaren eremutik kanpo daude:

  • SPF / DMARC erregistroen presentzia / ausentziari buruzko gure politikak.
  • Pasahitza, posta elektronikoa, eta kontuaren gidalerroak, esaterako, posta elektronikoko identifikazioa egiaztatzea, berrezarri estekaren iraungipena, pasahitzaren konplexutasuna.
  • CSRF token falta (benetako frogarik ez badago behintzat, token batek babesten ez duen erabiltzaile ekintza sentikorra).
  • Saioa hasi / amaitu saioa CSRF.
  • Erabiltzailearen gailura sarbide fisikoa behar duten erasoak.
  • Ahultasunera zuzenean ekartzen ez duten segurtasun goiburuak falta dira.
  • Praktika onak falta dira (segurtasun-ahultasunaren ebidentzia eskatzen dugu).
  • Auto-XSS (XSS eraso batean nola erabil daitekeen frogatzeko eskatzen dugu).
  • Ostalariaren goiburuko injekzioak datuak lapurtzea nola ekar dezaketen erakutsi ezean.
  • Ezagutzen eta zaurgarria den liburutegia erabiltzea (esplotagarritasun frogarik gabe).
  • LogMeOnce ez den buggy softwarearekin lotutako gaiak.
  • Tresna edo eskaneatze automatikoen txostenak.
  • Spam txostenak (adibidez, tarifa mugarik gabe mezu elektronikoak bidaltzeko aukera dakarren edozein txosten).
  • Erasotzaileen aplikazioak gure aplikazioaren gainean gainjartzeko baimena izatea eskatzen duten erasoak (adibidez, tapjacking).
  • Zaharkitutako arakatzaile edo plataformen erabiltzaileei eragiten dieten ahultasunak.
  • LogMeOnce langileen edo kontratisten ingeniaritza soziala.
  • LogMeOnce jabetza edo datu zentroen aurkako edozein saiakera fisiko.
  • Osatze automatikoko atributuaren presentzia web inprimakietan.
  • Sentikorrak ez diren cookieetan cookie banderak falta dira.
  • SSL / TLS zifratu ez seguruen txostenak (kontzeptuaren froga funtzionala izan ezean eta ez eskaner baten txostena soilik).
  • Xedatutako erabiltzaileak errotutako gailu mugikor bat erabili behar duen edozein datuetarako sarbidea.
  • Pribilegio berriak nola lortzen dituen erakutsi gabe DLL bahiketari buruzko edozein txosten ere ez dago esparruan.
  • LogMeOnce irtenbideak malwarea hornitzeko nola erabil daitezkeen buruzko edozein txosten.
  • Edukiak faltsutzen dituzten ahultasunak (testua edo irudi bat orrialde batean bakarrik txerta dezakezu) eremutik kanpo daude.
  • Erasotzaileek irudia edo testu aberatsa injektatu dezaketen ahultasun faltsua onartu eta konponduko dugu (HTML), baina ez du sarietarako eskubidea. Testu hutsaren injekzioa kanpoan dago.
  • Estekak posta elektronikoa egiaztatu gabe partekatzeko gaitasuna.
  • Tasa mugatzeko eza, autentifikazioarekin lotura izan ezean.
  • Islatutako fitxategiak deskargatzeko ahultasunak edo erabiltzailearen ordenagailura deskargatzen hasteko aukera ematen duten ahultasunak ez daude esparruan.
  • IP / Port Eskaneatzea LogMeOnce zerbitzuen bidez IP pribatu edo LogMeOnce zerbitzarietara joateko gai ez bazara..
  • Gailuak (ios, android, mahaigaineko aplikazioak) pasahitz aldaketan lotura ez izatea.
  • Hiperesteka injekzioa edo edozein esteka injekzio bidaltzen ditugun mezu elektronikoetan.
  • Mezu elektroniko bera erabiliz hainbat kontu sortzea ere ez dago esparruan.
  • Phishing arriskua unicode / punycode edo RTLO arazoen bidez.
  • Aukeratzailean okerreko luzapena duten fitxategiak igo ahal izatea.
  • Github wiki editagarria.

SSRF bidalketen inguruko oharrak

SSRF txostena bidali aurretik, ziurtatu jasotzen ari zaren erantzuna ez dela bat ere:

  • berrezarri
  • HTTP / 1.1 403 Debekatuta

Erantzun hauetakoren batek esan ohi du zure eskaera blokeatuta dagoela eta ez dela baliozko SSRF bat.

Politika hau betetzearen ondorioak

Ez dugu ekintza zibilik jarraituko edo ez dugu salaketarik jarriko legea betearazteari ustekabean, politika honen fede oneko urraketak. Politika honekin bat egiten duten jarduerak Ordenagailuen Iruzurrak eta Abusuak Legearen arabera jokabide "baimenduak" direla deritzogu. Zure jarduerak gure Erabilera Onargarriaren Politikan murrizketa batzuekin bat ez datozen neurrian, murrizketa horiei uko egiten diegu politika honen araberako segurtasun ikerketak baimentzeko helburu mugatuarekin. Ez dugu DMCA erreklamaziorik aurkeztuko zure aurka aplikazioak babesteko erabili ditugun neurri teknologikoak saihesteagatik.

Hirugarren batek zure kontrako auzibidea abiarazten badu eta LogMeOnce-ren Bug Bounty politika bete baduzu, LogMeOnce-k urratsak egingo ditu zure ekintzak politika hau betez burutu direla jakitera emateko.

Letra fina

Sariekin lotutako zergak ordaintzeaz arduratzen zara. Programa honen baldintzak aldatu ditzakegu edo programa amaitu dezakegu noiznahi. Ez dugu aplikatuko programa baldintza hauetan atzeraeraginez egiten ditugun aldaketarik. Legeak ordaintzea debekatzen diguten pertsonen txostenak ez dira sarietarako eskubidea. LogMeOnce langileek eta haien senideek ez dute saririk jaso.

berri-

Bidali xehetasun guztiak helbidera [email protected] gaiarekin "LogMeOnce Ahultasun Agerpena".

Mesedez, sartu baliozko negozio helbide elektronikoa, eta sare sozialen profila.

Salbuespenak

Bestelakorik adierazi ezean, ez dago politika honen salbuespenik.

Prozedura atxikitzeko epea: Betirako, edo ordeztu arte.

Berrikuspen / Berrikuspen Zikloa: Urterokoa

Kontuan izan jabeak edo baimendutako beste alderdi batek politika eta prozedura hau edozein unetan berrikusi dezakeela. Hemen adierazitako epeak prozedura igorri ahal den gehieneko denbora ezarri du prozedura gutxienez berrikusi baino lehen zehaztasun eta garrantziaren arabera.

Berrikuspen Data: 08-2020