سیاست افشای آسیب پذیری

خانه - سیاست افشای آسیب پذیری

خلاصه

هر روز مسائل امنیتی جدید و حملات امنیتی سایبری ایجاد می شود. LogMeOnce با همکاری با محققان و شرکت های امنیتی ، پیشرفت های پیشرفته امنیتی را به کار می گیرد. هدف از این سند شرح دادن شرایط و ضوابطی است که ما در آن عواید پرداخت خواهیم کرد; برای اشکالات اخلاقی گزارش شده.

خط مشی

ایمن و مطمئن نگه داشتن اطلاعات کاربر در LogMeOnce اولویت اصلی و اصلی است. ما از سهم محققان امنیت خارجی استقبال می کنیم و مشتاقانه منتظر اعطای جایزه به آنها برای کمک بی بدیل در امنیت همه کارمندان و کاربران LogMeOnce هستیم..

جوایز

LogMeOnce به تشخیص خود به خبرنگاران آسیب پذیری پاداش می دهد (به درستی "گزارش" را ببینید). پاداش ما $30 دلار برای تأثیر کم, $50 دلار برای تأثیر متوسط. مقادیر پاداش ممکن است بسته به شدت آسیب پذیری گزارش شده و کیفیت گزارش متفاوت باشد. به خاطر داشته باشید که این یک مسابقه یا مسابقه نیست.

برنامه های کاربردی در محدوده

راه حلهای خارجی که با LogMeOnce روبرو هستند و محصولات LogMeOnce که در حال حاضر پشتیبانی می شوند ، محدوده دارند.

واجد شرایط بودن و افشای مسئولانه

برای ترویج کشف و گزارش آسیب پذیری ها و افزایش ایمنی کاربر, ما از شما می خواهیم:

  • برای جلوگیری از نقض حریم خصوصی ، با حسن نیت اقدام کنید, تخریب داده ها, و قطع یا تخریب خدمات ما (از جمله انکار خدمات);
  • به داده های ما یا داده های کاربران ما دسترسی پیدا نکنید یا آنها را اصلاح نکنید, بدون اجازه صریح مالک. فقط با حسابهای شخصی خود یا حسابهای آزمایشی برای اهداف تحقیقات امنیتی ارتباط برقرار کنید;
  • اگر سهواً با داده های کاربر مواجه شدید سریعاً با ما تماس بگیرید. مشاهده نکنید, تغییر دهید, صرفه جویی, فروشگاه, انتقال, یا در غیر این صورت به داده ها دسترسی پیدا کنید, و بلافاصله با گزارش آسیب پذیری به LogMeOnce ، هرگونه اطلاعات محلی را پاک کنید;
  • لطفاً به برنامه های موجود ما احترام بگذارید. فرم های هرزنامه از طریق اسکنرهای آسیب پذیری خودکار هیچ گونه پاداش یا جایزه ای به همراه نخواهد داشت ، زیرا این موارد به صراحت از دامنه خارج شده اند;
  • موضوع امنیتی را با جزئیات با ما در میان بگذارید;
  • برای پاسخگویی به موضوع زمان معقولی را در اختیار ما قرار دهید; و
  • در غیر این صورت با تمام قوانین قابل اجرا پیروی کنید.

ما فقط به اولین گزارشگر یک آسیب پذیری پاداش می دهیم. افشای عمومی آسیب پذیری مجاز نیست و پاداش معلق را لغو می کند. ما این حق را برای خود محفوظ می داریم که افراد را به دلیل بی احترامی یا اخلال در کار از برنامه رد کنیم.

ما در پاسخ به فشار یا تهدید مذاکره نخواهیم کرد (به عنوان مثال،, ما با تهدید جلوگیری از آسیب پذیری یا تهدید آزاد سازی آسیب پذیری یا هرگونه داده ای که در معرض دید عموم است ، درباره میزان پرداخت مذاکره نخواهیم کرد.).

آسیب پذیری های خارج از محدوده

موارد زیر از برنامه پاداش ما خارج است:

  • سیاست های ما در مورد حضور / عدم وجود سوابق SPF / DMARC.
  • کلمه عبور, پست الکترونیک, و سیاست های حساب, مانند تأیید شناسه ایمیل, انقضا link پیوند تنظیم مجدد, پیچیدگی رمز عبور.
  • عدم وجود نشانه های CSRF (مگر اینکه شواهدی از واقعی بودن وجود داشته باشد, عملکرد حساس کاربر که توسط یک رمز محافظت نمی شود).
  • ورود / خروج از CSRF.
  • حملاتی که نیاز به دسترسی فیزیکی به دستگاه کاربر دارند.
  • عناوین امنیتی گمشده که مستقیماً منجر به آسیب پذیری نمی شوند.
  • بهترین روش ها را از دست می دهید (ما به شواهدی از یک آسیب پذیری امنیتی نیاز داریم).
  • Self-XSS (ما به شواهدی در مورد چگونگی استفاده از XSS در حمله نیاز داریم).
  • تزریق هدر میزبان مگر اینکه بتوانید نشان دهید چگونه می توانند منجر به سرقت اطلاعات شوند.
  • استفاده از کتابخانه آسیب پذیر شناخته شده (بدون شواهدی از بهره برداری).
  • مسائل مربوط به نرم افزار حشره دار غیر LogMeOnce.
  • گزارش از ابزارهای خودکار یا اسکن ها.
  • گزارش هرزنامه (یعنی, هر گزارشی شامل توانایی ارسال ایمیل بدون محدودیت نرخ).
  • حملاتی که به برنامه مهاجم نیاز دارد تا مجوز همپوشانی بالای برنامه ما را داشته باشد (به عنوان مثال،, ضربه زدن).
  • آسیب پذیری های موثر بر کاربران مرورگرها یا سیستم عامل های قدیمی.
  • مهندسی اجتماعی کارمندان یا پیمانکاران LogMeOnce.
  • هرگونه تلاش فیزیکی علیه دارایی یا مراکز داده LogMeOnce.
  • وجود ویژگی تکمیل خودکار در فرمهای وب.
  • پرچم های کوکی در کوکی های غیر حساس وجود ندارد.
  • گزارش از رمزهای SSL / TLS ناامن (مگر اینکه شما یک مدرک اثبات مفهوم داشته باشید و فقط گزارشی از یک اسکنر نداشته باشید).
  • هرگونه دسترسی به داده هایی که کاربر هدف برای استفاده از دستگاه همراه روت شده نیاز دارد.
  • هر گزارشی در مورد هواپیماربایی DLL بدون نشان دادن چگونگی دستیابی به امتیازات جدید نیز از حیطه بحث خارج است.
  • هر گزارشی در مورد چگونگی استفاده از راهکارهای LogMeOnce برای سرویس دهی به بدافزار.
  • آسیب پذیری های جعل محتوا (جایی که فقط می توانید متن یا تصویر را به یک صفحه تزریق کنید) از محدوده خارج هستند.
  • ما در صورت حمله مهاجم به تزریق تصویر یا متن غنی ، یک آسیب پذیری جعل را می پذیریم (HTML), اما واجد شرایط پاداش نیست. تزریق متن خالص خارج از محدوده است.
  • امکان اشتراک لینک ها بدون تأیید ایمیل.
  • عدم محدود کردن نرخ, مگر اینکه مربوط به احراز هویت باشد.
  • آسیب پذیری های بارگیری پرونده منعکس شده یا هرگونه آسیب پذیری که به شما امکان می دهد بارگیری را در رایانه کاربر شروع کنید ، خارج از محدوده هستند.
  • اسکن IP / پورت از طریق سرویس های LogMeOnce مگر اینکه بتوانید IP های خصوصی یا سرورهای LogMeOnce را بزنید.
  • دستگاهها (iOS, اندروید, برنامه های دسک تاپ) قطع ارتباط با تغییر رمز عبور.
  • تزریق پیوند یا تزریق پیوند در ایمیل هایی که ارسال می کنیم.
  • ایجاد چندین حساب با استفاده از ایمیل مشابه نیز از حوزه کاری خارج است.
  • خطر فیشینگ از طریق مشکلات unicode / punycode یا RTLO.
  • امکان بارگذاری پرونده ها با پسوند اشتباه در انتخاب کننده.
  • ویکی های قابل ویرایش Github.

یادداشت های ارسالی SSRF

قبل از ارسال گزارش SSRF, لطفاً اطمینان حاصل کنید که پاسخی که دریافت می کنید هیچ کدام نیست:

  • تنظیم مجدد
  • HTTP / 1.1 403 ممنوع

هر یک از این پاسخ ها معمولاً نشان می دهد که درخواست شما مسدود شده و SSRF معتبری نیست.

عواقب مطابقت با این سیاست

ما اقدامات مدنی را دنبال نخواهیم کرد یا شکایتی را به دلیل تصادفی از اجرای قانون شکایت نمی کنیم, نقض حسن نیت این سیاست. ما فعالیتهایی را که مطابق با این سیاست انجام شده است ، به منزله "مجاز" بودن قانون تحت قانون کلاهبرداری و سو Ab استفاده رایانه ای می دانیم. تا آنجا که فعالیت های شما با محدودیت های خاص در سیاست استفاده قابل قبول ما مغایرت داشته باشد, ما برای محدودیت مجاز اجازه انجام تحقیقات امنیتی تحت این سیاست از این محدودیت ها چشم پوشی می کنیم. ما ادعای DMCA علیه شما به دلیل دور زدن اقدامات فناوری که ما برای محافظت از برنامه های کاربردی در دامنه خود استفاده کرده ایم ، نخواهیم آورد.

اگر اقدامات قانونی توسط شخص ثالثی علیه شما آغاز شده و شما از سیاست LogMeOnce’s Bug Bounty پیروی کرده اید, LogMeOnce اقداماتی را انجام خواهد داد تا مشخص کند اقدامات شما با رعایت این سیاست انجام شده است.

چاپ خوب

شما مسئول پرداخت هرگونه مالیات مرتبط با پاداش هستید. در هر زمان ممکن است شرایط این برنامه را اصلاح کنیم یا این برنامه را خاتمه دهیم. ما هیچ تغییری را که در این اصطلاحات برنامه ایجاد کنیم به صورت عطف به ماسبق اعمال نمی کنیم. گزارش از افرادی که طبق قانون منع پرداخت آنها را نداریم ، جایزه ندارند. کارمندان LogMeOnce و اعضای خانواده آنها واجد شرایط دریافت پاداش نیستند.

گزارش نویسی

ارسال تمام جزئیات به [email protected] با عنوان "افشای آسیب پذیری LogMeOnce".

لطفاً یک آدرس ایمیل معتبر تجاری وارد کنید, و پروفایل شبکه های اجتماعی.

استثناها

به غیر از موارد دیگری که ذکر شده باشد, هیچ استثنایی در این سیاست وجود ندارد.

دوره حفظ روش: به طور دائم, یا تا جایگزین شود.

چرخه تجدید نظر / مرور: سالانه

توجه داشته باشید که این خط مشی / روش می تواند در هر زمان توسط مالک یا شخص مجاز دیگر تجدید نظر شود. مدت زمانی که در اینجا ذکر شده است حداکثر زمانی را که می تواند از تاریخ صدور بگذرد قبل از بررسی حداقل روش برای صحت و صحت ، مشخص کرد.

تاریخ بازنگری: 08-2020