מדיניות גילוי פגיעות

בית - מדיניות גילוי פגיעות

סיכום

כל יום נוצרות בעיות אבטחה חדשות והתקפות אבטחת סייבר. LogMeOnce מעסיקה פיתוחי אבטחה משוכללים על ידי עבודה עם חוקרי אבטחה וחברות. מטרת מסמך זה היא להתוות את התנאים והתנאים שבהם אנו נשלם סכומים; לבאגים המדווחים באתיקה.

מְדִינִיוּת

שמירה על אבטחת מידע על המשתמשים היא בראש סדר העדיפויות ועקרון הליבה ב- LogMeOnce. אנו מקדמים בברכה את תרומתם של חוקרי אבטחה חיצוניים ומצפים להעניק להם על תרומתם שלא יסולא בפז לאבטחתם של כל עובדי LogMeOnce והמשתמשים..

תגמולים

LogMeOnce מעניק תגמולים לעיתונאי פגיעות לפי שיקול דעתו (ראה כראוי "דיווח"). התגמול שלנו הוא $30 דולר עבור השפעה נמוכה, $50 דולר עבור השפעה בינונית. סכומי התגמול עשויים להשתנות בהתאם לחומרת הפגיעות המדווחת ולאיכות הדוח. יש לזכור כי לא מדובר בתחרות או בתחרות.

יישומים בהיקף

פתרונות LogMeOnce הפונים כלפי חוץ ומוצרי LogMeOnce הנתמכים כיום נמצאים בהיקף.

זכאות וגילוי אחראי

לקידום גילוי ודיווח על נקודות תורפה והגברת בטיחות המשתמשים, אנו מבקשים ממך:

  • פעל בתום לב כדי למנוע הפרות פרטיות, הרס נתונים, והפרעה או השפלה של השירותים שלנו (כולל מניעת שירות);
  • אין לגשת או לשנות את הנתונים שלנו או את נתוני המשתמשים שלנו, ללא אישור מפורש של הבעלים. אינטראקציה רק ​​עם חשבונות משלך או חשבונות בדיקה למטרות מחקר אבטחה;
  • צרו איתנו קשר מיד אם נתקלתם בשוגג בנתוני משתמשים. אל תצפו, לשנות, לשמור, חנות, לְהַעֲבִיר, או לגשת לנתונים בדרך אחרת, ולטהר מיד כל מידע מקומי לאחר דיווח על הפגיעות ל- LogMeOnce;
  • אנא כבד את היישומים הקיימים שלנו. זבל טפסים באמצעות סורקי פגיעות אוטומטיים לא יביא לתמורה או פרס כלשהו מכיוון שאלה הם מחוץ לתחום.;
  • שתף איתנו את נושא האבטחה בפירוט;
  • תנו לנו זמן סביר להגיב לנושא; ו
  • אחרת ציית לכל החוקים החלים.

אנו מתגמלים רק את הכתב הראשון של פגיעות. חשיפה פומבית של הפגיעות אינה מותרת ותבטל תגמול בהמתנה. אנו שומרים לעצמנו את הזכות לפסול אנשים מהתוכנית בגין התנהגות לא מכובדת או משבשת.

לא ננהל משא ומתן בתגובה לכפייה או איומים (למשל:, לא ננהל משא ומתן על סכום התשלום תוך איום של הלנת הפגיעות או איום של שחרור הפגיעות או כל נתונים חשופים לציבור).

פגיעויות מחוץ לתחום

הנושאים הבאים מחוץ לתחום התגמולים שלנו:

  • המדיניות שלנו בנוגע לנוכחות / היעדר רשומות SPF / DMARC.
  • סיסמה, אימייל, ומדיניות חשבון, כגון אימות מזהה דוא"ל, איפוס תפוגת קישור, מורכבות סיסמא.
  • היעדר אסימונים של CSRF (אלא אם כן קיימות עדויות למציאות, פעולת משתמש רגישה שאינה מוגנת על ידי אסימון).
  • כניסה / התנתקות CSRF.
  • התקפות הדורשות גישה פיזית למכשיר המשתמש.
  • חסרים כותרות אבטחה שאינן מובילות ישירות לפגיעות.
  • חסר שיטות עבודה מומלצות (אנו דורשים הוכחות לפגיעות ביטחונית).
  • XSS עצמי (אנו דורשים ראיות כיצד ניתן להשתמש ב- XSS בהתקפה).
  • הזרקת כותרות מארח אלא אם כן תוכל להראות כיצד הן יכולות להוביל לגניבת נתונים.
  • שימוש בספריה ידועה ופגיעה (ללא ראיות לניצול).
  • נושאים הקשורים לתוכנת באגי שאינה LogMeOnce.
  • דוחות מכלים או סריקות אוטומטיות.
  • דיווחים על דואר זבל (דהיינו, כל דוח הכרוך ביכולת לשלוח מיילים ללא מגבלות תעריפים).
  • התקפות שדורשות מאפליקציית התוקף הרשאה לשכבת על גבי האפליקציה שלנו (למשל:, שקעים ברזיות).
  • פגיעויות המשפיעות על משתמשים בדפדפנים או בפלטפורמות מיושנות.
  • הנדסה חברתית של עובדי LogMeOnce או קבלנים.
  • כל ניסיונות פיזיים נגד נכסי LogMeOnce או מרכזי נתונים.
  • נוכחות של מאפיין השלמה אוטומטית בטופסי אינטרנט.
  • חסרים דגלי עוגיות בעוגיות שאינן רגישות.
  • דיווחים על צופני SSL / TLS לא מאובטחים (אלא אם כן יש לך הוכחת עבודה מושגית ולא רק דוח מסורק).
  • כל גישה לנתונים שבהם המשתמש הממוקד צריך להפעיל מכשיר סלולרי מושרש.
  • כל דיווח על חטיפת DLL מבלי להדגים כיצד הוא זוכה בהרשאות חדשות גם הוא מחוץ לתחום.
  • כל דיווח על אופן השימוש בפתרונות LogMeOnce כדי להגיש תוכנות זדוניות.
  • פרצות של זיוף תוכן (שבו אתה יכול רק להזריק טקסט או תמונה לדף) מחוץ לתחום.
  • אנו נקבל ונפתור פגיעות בזיוף בה התוקף יכול להזריק תמונה או טקסט עשיר (HTML), אבל זה לא זכאי לפרס. הזרקת טקסט טהור אינה בתחום.
  • יכולת לשתף קישורים מבלי לאמת דוא"ל.
  • היעדר הגבלת קצב, אלא אם כן קשור לאימות.
  • נקודות תורפה של הורדת קבצים משתקפות או נקודות תורפה המאפשרות לך להתחיל להוריד למחשב המשתמש אינן בתחום.
  • סריקת IP / יציאות באמצעות שירותי LogMeOnce אלא אם כן אתה מסוגל לפגוע בכתובות IP פרטיות או בשרתי LogMeOnce.
  • מכשירים (ios, דְמוּי אָדָם, יישומי שולחן עבודה) לא מקבל קישור בשינוי סיסמה.
  • הזרקת היפר-קישור או כל הזרקת קישור באימיילים שאנו שולחים.
  • יצירת חשבונות מרובים באמצעות אותו דואר אלקטרוני גם היא מחוץ לתחום.
  • סיכון התחזות באמצעות בעיות unicode / punycode או RTLO.
  • היכולת להעלות קבצים עם סיומת שגויה בבוחר.
  • הוויקי של Github הניתנים לעריכה.

הערות על הגשות SSRF

לפני הגשת דוח SSRF, אנא ודא שהתגובה שאתה מקבל איננה:

  • אִתחוּל
  • HTTP / 1.1 403 אסור

אחת מהתגובות הללו מציינת בדרך כלל שהבקשה שלך נחסמה ואינה SSRF חוקי.

השלכות של עמידה במדיניות זו

לא נמשיך בתביעה אזרחית ולא נפתח תלונה לאכיפת החוק בגין מקרי, הפרות בתום לב של מדיניות זו. אנו רואים בפעילויות המתנהלות בקנה אחד עם מדיניות זו התנהגות "מורשית" על פי החוק להונאת מחשבים והתעללות. ככל שהפעילות שלך אינה עולה בקנה אחד עם הגבלות מסוימות במדיניות השימוש המקובל שלנו, אנו מוותרים על הגבלות אלה במטרה המוגבלת לאפשר מחקר אבטחה במסגרת מדיניות זו. לא נביא נגדך תביעה של DMCA בגין עקיפת האמצעים הטכנולוגיים בהם השתמשנו כדי להגן על היישומים בהיקף.

אם צד שלישי יזם נגדך צעדים משפטיים ועמדת במדיניות Bug Bounty של LogMeOnce, LogMeOnce ינקוט בצעדים כדי להודיע ​​לך כי פעולותיך התנהלו בהתאם למדיניות זו.

האותיות הקטנות

אתה אחראי לתשלום מיסים הקשורים לתגמולים. אנו עשויים לשנות את תנאי תוכנית זו או לסיים תוכנית זו בכל עת. לא ניישם שינויים שנבצע בתנאי התוכנית הללו באופן רטרואקטיבי. דיווחים מאנשים שאינם חוקיים על פי חוק אסור להם לשלם אינם זכאים לתמורה. עובדי LogMeOnce ובני משפחתם אינם זכאים לקבל שכר.

דיווח

שלח את כל הפרטים אל [email protected] עם שורת הנושא "גילוי פגיעות של LogMeOnce".

נא לכלול כתובת אימייל עסקית תקפה, ופרופיל המדיה החברתית.

סייגים

אלא אם צוין אחרת, אין יוצאים מן הכלל למדיניות זו.

תקופת שמירת נוהל: לִצְמִיתוּת, או עד שהוחלף.

מחזור תיקון / סקירה: שנתי

שים לב כי הבעלים או גורם מורשה אחר יכולים לתקן מדיניות / נוהל זה בכל עת. פרק הזמן שצוין כאן קבע את הזמן המרבי שיכול לחלוף מאז תאריך ההנפקה לפני ההליך נבדק לפחות לדיוק ורלוונטיות.

תאריך עדכון: 08-2020

בלנדר ביטקוין קריפטומיקסר מערבל הביטקוין הטוב ביותר