भेद्यता प्रकटीकरण नीति

होम - भेद्यता प्रकटीकरण नीति

सारांश

हर दिन नए सुरक्षा मुद्दे और साइबर सुरक्षा हमले किए जाते हैं. LogMeOnce सुरक्षा शोधकर्ताओं और कंपनियों के साथ काम करके अत्याधुनिक सुरक्षा विकास को नियोजित करता है. इस दस्तावेज़ का उद्देश्य उन नियमों और शर्तों को रेखांकित करना है जिनके तहत हम बाउंटी का भुगतान करेंगे; नैतिक रूप से रिपोर्ट किए गए बग के लिए.

नीति

उपयोगकर्ता की जानकारी को सुरक्षित और सुरक्षित रखना सर्वोच्च प्राथमिकता है और LogMeOnce में एक मुख्य सिद्धांत है. हम बाहरी सुरक्षा शोधकर्ताओं के योगदान का स्वागत करते हैं और सभी LogMeOnLin कर्मचारियों और उपयोगकर्ताओं की सुरक्षा में उनके अमूल्य योगदान के लिए उन्हें पुरस्कृत करने के लिए तत्पर हैं।.

पुरस्कार

LogMeOnce अपने विवेक पर भेद्यता संवाददाताओं को पुरस्कार प्रदान करता है (ठीक से देखें "रिपोर्टिंग"). हमारा इनाम है $30 कम प्रभाव के लिए USD, $50 मध्यम प्रभाव के लिए USD. रिपोर्ट की गई भेद्यता की गंभीरता और रिपोर्ट की गुणवत्ता के आधार पर पुरस्कार की राशि भिन्न हो सकती है. ध्यान रखें कि यह कोई प्रतियोगिता या प्रतियोगिता नहीं है.

स्कोप में अनुप्रयोग

LogMeOnce समाधान का बाहरी रूप से सामना कर रहा है और वर्तमान में समर्थित LogMeOnce उत्पाद दायरे में हैं.

पात्रता और जिम्मेदार प्रकटीकरण

कमजोरियों की खोज और रिपोर्टिंग को बढ़ावा देने और उपयोगकर्ता सुरक्षा बढ़ाने के लिए, हम पूछते हैं कि आप:

  • गोपनीयता के उल्लंघन से बचने के लिए सद्भाव में कार्य करें, डेटा का विनाश, और हमारी सेवाओं में रुकावट या गिरावट (सेवा से इनकार सहित);
  • हमारे डेटा या हमारे उपयोगकर्ताओं के डेटा को एक्सेस या संशोधित न करें, स्वामी की स्पष्ट अनुमति के बिना. केवल अपने स्वयं के खातों या सुरक्षा अनुसंधान उद्देश्यों के लिए खातों का परीक्षण करें;
  • यदि आप अनजाने में उपयोगकर्ता डेटा का सामना करते हैं तो तुरंत हमसे संपर्क करें. मत देखिए, बदलने, सहेजें, दुकान, स्थानांतरण, या अन्यथा डेटा तक पहुंचें, और तुरंत LogMeOnce की भेद्यता की रिपोर्ट करने पर किसी भी स्थानीय जानकारी को शुद्ध करें;
  • कृपया हमारे मौजूदा अनुप्रयोगों का सम्मान करें. स्‍वचालित भेद्यता स्‍कैनर्स के माध्यम से स्‍पैमिंग फॉर्मों में किसी भी इनाम या पुरस्‍कार का परिणाम नहीं होगा क्‍योंकि वे स्‍पष्‍ट रूप से दायरे से बाहर हैं;
  • हमारे साथ सुरक्षा मुद्दे को विस्तार से साझा करें;
  • मुद्दे पर प्रतिक्रिया देने के लिए हमें उचित समय दें; तथा
  • अन्यथा सभी लागू कानूनों का पालन करें.

हम केवल एक भेद्यता के पहले रिपोर्टर को पुरस्कृत करते हैं. भेद्यता के सार्वजनिक प्रकटीकरण की अनुमति नहीं है और एक लंबित इनाम को रद्द कर देगा. हम अपमानजनक या विघटनकारी व्यवहार के लिए कार्यक्रम से व्यक्तियों को अयोग्य घोषित करने का अधिकार सुरक्षित रखते हैं.

हम ड्यूरेसेस या खतरों के जवाब में बातचीत नहीं करेंगे (जैसे, हम भेद्यता को वापस लेने या भेद्यता को जारी करने की धमकी या जनता के किसी भी उजागर डेटा के तहत भुगतान राशि पर बातचीत नहीं करेंगे).

दायरे से बाहर की कमजोरियाँ

निम्नलिखित मुद्दे हमारे पुरस्कार कार्यक्रम के दायरे से बाहर हैं:

  • SPF / DMARC रिकॉर्ड की उपस्थिति / अनुपस्थिति पर हमारी नीतियां.
  • कुंजिका, ईमेल, और खाता नीतियां, जैसे कि ईमेल आईडी सत्यापन, लिंक की समाप्ति समाप्त करें, पासवर्ड जटिलता.
  • CSRF टोकन की कमी (जब तक वास्तविक का सबूत न हो, संवेदनशील उपयोगकर्ता कार्रवाई टोकन द्वारा संरक्षित नहीं है).
  • लॉगिन / लॉगआउट CSRF.
  • उपयोगकर्ता के डिवाइस पर भौतिक पहुंच की आवश्यकता होती है.
  • सुरक्षा हेडर गुम होना जो सीधे भेद्यता की ओर नहीं ले जाता है.
  • सर्वोत्तम प्रथाओं को याद करना (हमें सुरक्षा भेद्यता का प्रमाण चाहिए).
  • Self-XSS (हमें इस बात के प्रमाण की आवश्यकता है कि किसी हमले में XSS का उपयोग कैसे किया जा सकता है).
  • होस्ट हेडर इंजेक्शन जब तक आप यह नहीं दिखा सकते कि वे डेटा चोरी कैसे कर सकते हैं.
  • एक ज्ञात-कमजोर पुस्तकालय का उपयोग (शोषण के सबूत के बिना).
  • छोटी गाड़ी गैर LogMeOnce सॉफ्टवेयर से संबंधित मुद्दे.
  • स्वचालित उपकरण या स्कैन से रिपोर्ट.
  • स्पैम की रिपोर्ट (अर्थात, किसी भी रिपोर्ट में बिना सीमा के ईमेल भेजने की क्षमता शामिल है).
  • हमलों जिसमें हमलावर ऐप की आवश्यकता होती है, हमारे ऐप के शीर्ष पर ओवरले करने की अनुमति है (जैसे, tapjacking).
  • पुराने ब्राउज़र या प्लेटफ़ॉर्म के उपयोगकर्ताओं को प्रभावित करने वाली कमजोरियाँ.
  • LogMeOnce कर्मचारियों या ठेकेदारों की सामाजिक इंजीनियरिंग.
  • LogMeOnce संपत्ति या डेटा केंद्रों के खिलाफ कोई भी भौतिक प्रयास.
  • वेब रूपों पर स्वत: पूर्ण विशेषता की उपस्थिति.
  • गैर-संवेदनशील कुकीज़ पर कुकी के झंडे गुम.
  • असुरक्षित एसएसएल / टीएलएस सिफर की रिपोर्ट (जब तक आपके पास अवधारणा का कार्यशील प्रमाण न हो और केवल एक स्कैनर से रिपोर्ट न हो).
  • डेटा तक कोई भी पहुंच जहां लक्षित उपयोगकर्ता को रूट किए गए मोबाइल डिवाइस को संचालित करने की आवश्यकता होती है.
  • डीएलएल अपहरण के बारे में कोई भी रिपोर्ट यह बताए बिना कि यह नए विशेषाधिकार कैसे हासिल करती है, वह भी इस दायरे से बाहर है.
  • मैलवेयर की सेवा के लिए LogMeOnce समाधान का उपयोग कैसे किया जा सकता है, इसके बारे में कोई रिपोर्ट.
  • सामग्री कमजोरियों को ख़राब करती है (जहां आप केवल एक पृष्ठ में पाठ या एक छवि इंजेक्ट कर सकते हैं) दायरे से बाहर हैं.
  • हम एक खराब भेद्यता को स्वीकार करेंगे और हल करेंगे जहां हमलावर छवि या समृद्ध पाठ को इंजेक्ट कर सकता है (एचटीएमएल), लेकिन यह एक इनाम के योग्य नहीं है. शुद्ध पाठ इंजेक्शन दायरे से बाहर है.
  • ईमेल को सत्यापित किए बिना लिंक साझा करने की क्षमता.
  • दर-मर्यादा का अभाव, जब तक प्रमाणीकरण से संबंधित नहीं.
  • परावर्तित फ़ाइल डाउनलोड भेद्यता या कोई भी भेद्यता जो आपको उपयोगकर्ता के कंप्यूटर से डाउनलोड शुरू करने देती है, स्कोप से बाहर है.
  • LogMeOnce सेवाओं के माध्यम से IP / पोर्ट स्कैनिंग जब तक आप निजी IP या LogMeOnce सर्वर को हिट करने में सक्षम नहीं होते हैं.
  • उपकरण (ios, एंड्रॉयड, डेस्कटॉप ऐप्स) पासवर्ड बदलने पर अनलिंक नहीं हो रहा है.
  • हाइपरलिंक इंजेक्शन या हमारे द्वारा भेजे गए ईमेल में कोई लिंक इंजेक्शन.
  • एक ही ईमेल का उपयोग करके कई खाते बनाना भी दायरे से बाहर है.
  • यूनिकोड / पंचकोश या RTLO मुद्दों के माध्यम से फ़िशिंग जोखिम.
  • चयनकर्ता में गलत एक्सटेंशन के साथ फाइल अपलोड करने में सक्षम होने के नाते.
  • संपादन योग्य गितुब विकी.

SSRF सबमिशन पर नोट्स

SSRF रिपोर्ट प्रस्तुत करने से पहले, कृपया सुनिश्चित करें कि आपको जो प्रतिक्रिया मिल रही है, वह न तो है:

  • रीसेट
  • HTTP / 1.1 403 मना किया हुआ

इन प्रतिक्रियाओं में से कोई भी आमतौर पर इंगित करता है कि आपका अनुरोध अवरुद्ध था और मान्य SSRF नहीं है.

इस नीति का अनुपालन करने के परिणाम

हम नागरिक कार्रवाई का पीछा नहीं करेंगे या आकस्मिक के लिए कानून प्रवर्तन के लिए शिकायत करेंगे, इस नीति का अच्छा विश्वास उल्लंघन है. हम कंप्यूटर धोखाधड़ी और दुरुपयोग अधिनियम के तहत "अधिकृत" आचरण का गठन करने के लिए इस नीति के अनुरूप आयोजित गतिविधियों पर विचार करते हैं. हमारी स्वीकार्य उपयोग नीति में कुछ प्रतिबंधों के साथ आपकी गतिविधियाँ असंगत हैं, हम इस नीति के तहत सुरक्षा अनुसंधान की अनुमति देने के सीमित उद्देश्य के लिए उन प्रतिबंधों को माफ करते हैं. हम उन तकनीकी उपायों को दरकिनार करने के लिए आपके खिलाफ DMCA दावा नहीं लाएंगे, जिनका उपयोग हम दायरों में सुरक्षा के लिए करते हैं.

अगर आपके खिलाफ किसी तीसरे पक्ष द्वारा कानूनी कार्रवाई शुरू की जाती है और आपने LogMeOnce की बग बाउंटी पॉलिसी का अनुपालन किया है, LogMeOnce यह सुनिश्चित करने के लिए कदम उठाएगा कि इस नीति के अनुपालन में आपके कार्य किए गए.

बारीक अक्षर

आप पुरस्कारों से जुड़े किसी भी कर का भुगतान करने के लिए जिम्मेदार हैं. हम इस कार्यक्रम की शर्तों को संशोधित कर सकते हैं या किसी भी समय इस कार्यक्रम को समाप्त कर सकते हैं. हम इन कार्यक्रमों के संदर्भ में किए गए किसी भी परिवर्तन को पूर्वव्यापी रूप से लागू नहीं करेंगे. उन व्यक्तियों से रिपोर्टें जिन्हें हम भुगतान करने से कानून द्वारा निषिद्ध हैं, पुरस्कार के लिए अयोग्य हैं. LogMeOnce कर्मचारी और उनके परिवार के सदस्य इनाम के पात्र नहीं हैं.

रिपोर्टिंग

को सभी विवरण भेजें [email protected] विषय पंक्ति के साथ "LogMeOnce भेद्यता प्रकटीकरण".

कृपया एक मान्य व्यवसाय ईमेल पता शामिल करें, और सोशल मीडिया प्रोफाइल.

अपवाद

को छोड़कर अन्यथा कहा गया है, इस नीति के लिए कोई अपवाद नहीं है.

प्रक्रिया प्रतिधारण अवधि: स्थायी रूप से, या जब तक सुप्त न हो जाए.

संशोधन / समीक्षा चक्र: वार्षिक

ध्यान दें कि इस नीति / प्रक्रिया को किसी भी समय मालिक या अन्य अधिकृत पार्टी द्वारा संशोधित किया जा सकता है. यहां बताई गई समयावधि ने अधिकतम समय की स्थापना की है जो प्रक्रिया की सटीकता और प्रासंगिकता के लिए कम से कम समीक्षा की जाने से पहले जारी करने की तारीख से आगे निकल सकती है.

संशोधन तारीख: 08-2020