脆弱性開示ポリシー

- 脆弱性開示ポリシー

概要

毎日、新しいセキュリティ問題とサイバーセキュリティ攻撃が発生しています. LogMeOnceは、セキュリティ研究者や企業と協力して、最先端のセキュリティ開発を採用しています. このドキュメントの目的は、報奨金を支払う条件の概要を説明することです。; 倫理的に報告されたバグの場合.

ポリシー

LogMeOnceでは、ユーザー情報を安全に保つことが最優先事項であり、基本原則です。. 外部のセキュリティ研究者の貢献を歓迎し、LogMeOnceのすべての従業員とユーザーのセキュリティへの貴重な貢献に対して彼らを表彰することを楽しみにしています。.

報酬

LogMeOnceは、その裁量で脆弱性レポーターに報酬を提供します (適切に「レポート」を参照してください). 私たちの報酬は $30 影響が少ない場合はUSD, $50 中程度の影響の場合は米ドル. 報酬額は、報告された脆弱性の重大度とレポートの品質によって異なる場合があります. これはコンテストやコンテストではないことに注意してください.

対象となるアプリケーション

外部向けのLogMeOnceソリューションと現在サポートされているLogMeOnce製品が対象となります.

適格性と責任ある開示

脆弱性の発見と報告を促進し、ユーザーの安全性を高めるため, お願いします:

  • プライバシー侵害を回避するために誠意を持って行動する, データの破壊, および当社のサービスの中断または低下 (サービス拒否を含む);
  • 当社のデータまたはユーザーのデータにアクセスまたは変更しないでください, 所有者の明示的な許可なしに. セキュリティ調査の目的でのみ、自分のアカウントまたはテストアカウントとやり取りしてください;
  • 誤ってユーザーデータに遭遇した場合は、すぐにご連絡ください. 表示しない, 変更, 保存する, お店, 転送, またはその他の方法でデータにアクセスする, LogMeOnceに脆弱性を報告すると、すぐにローカル情報を削除します;
  • 既存のアプリケーションを尊重してください. 自動化された脆弱性スキャナーを介したスパムフォームは、明示的に範囲外であるため、報奨金や賞金は発生しません。;
  • セキュリティの問題を詳細に共有してください;
  • 問題に対応するための妥当な時間を与えてください; そして
  • それ以外の場合は、適用されるすべての法律を遵守してください.

脆弱性の最初のレポーターにのみ報酬を与えます. 脆弱性の公開は許可されておらず、保留中の報酬をキャンセルします. 私たちは、無礼または破壊的な行動のためにプログラムから個人を失格にする権利を留保します.

強要や脅迫に応じて交渉することはありません (例, 脆弱性を差し控える恐れがある場合、または脆弱性や公開されているデータを一般に公開する恐れがある場合、支払い額について交渉することはありません。).

範囲外の脆弱性

以下の問題は、当社の報酬プログラムの範囲外です:

  • SPF / DMARCレコードの有無に関するポリシー.
  • パスワード, Eメール, およびアカウントポリシー, メールIDの確認など, リンクの有効期限をリセット, パスワードの複雑さ.
  • CSRFトークンの欠如 (実際の証拠がない限り, トークンで保護されていない機密性の高いユーザーアクション).
  • ログイン/ログアウトCSRF.
  • ユーザーのデバイスへの物理的なアクセスを必要とする攻撃.
  • 脆弱性に直接つながることのないセキュリティヘッダーがありません.
  • 欠落しているベストプラクティス (セキュリティの脆弱性の証拠が必要です).
  • Self-XSS (XSSを攻撃でどのように使用できるかについての証拠が必要です).
  • データの盗用につながる可能性があることを示すことができない限り、ホストヘッダーインジェクション.
  • 既知の脆弱なライブラリの使用 (悪用可能性の証拠なし).
  • バグのある非LogMeOnceソフトウェアに関連する問題.
  • 自動化されたツールまたはスキャンからのレポート.
  • スパムの報告 (即ち, 料金制限なしでメールを送信する機能を含むレポート).
  • 攻撃者のアプリがアプリの上にオーバーレイする権限を持っている必要がある攻撃 (例, タップジャック).
  • 古いブラウザまたはプラットフォームのユーザーに影響を与える脆弱性.
  • LogMeOnceの従業員または請負業者のソーシャルエンジニアリング.
  • LogMeOnceプロパティまたはデータセンターに対する物理的な試み.
  • Webフォームにオートコンプリート属性が存在する.
  • 機密性の低いCookieにCookieフラグがありません.
  • 安全でないSSL / TLS暗号のレポート (スキャナーからのレポートだけでなく、実用的な概念実証がない限り).
  • ターゲットユーザーがルート化されたモバイルデバイスを操作する必要があるデータへのアクセス.
  • 新しい特権を取得する方法を示さないDLLハイジャックに関するレポートも範囲外です.
  • LogMeOnceソリューションを使用してマルウェアを処理する方法に関するレポート.
  • コンテンツのなりすましの脆弱性 (ページにテキストまたは画像のみを挿入できる場所) 範囲外です.
  • 攻撃者が画像やリッチテキストを挿入できるなりすましの脆弱性を受け入れて解決します (HTML), しかし、それは報奨金の対象ではありません. 純粋なテキストインジェクションは範囲外です.
  • メールを確認せずにリンクを共有する機能.
  • レート制限がない, 認証に関連しない限り.
  • 反映されたファイルのダウンロードの脆弱性、またはユーザーのコンピューターへのダウンロードを開始できる脆弱性は範囲外です.
  • プライベートIPまたはLogMeOnceサーバーにアクセスできない場合を除き、LogMeOnceサービスを介したIP /ポートスキャン.
  • デバイス (ios, アンドロイド, デスクトップアプリ) パスワードの変更時にリンクが解除されない.
  • ハイパーリンクインジェクションまたは送信する電子メール内のリンクインジェクション.
  • 同じメールアドレスを使用して複数のアカウントを作成することも範囲外です.
  • unicode / punycodeまたはRTLOの問題によるフィッシングリスク.
  • セレクターで間違った拡張子のファイルをアップロードできる.
  • 編集可能なGithubwiki.

SSRF提出に関する注記

SSRFレポートを提出する前に, 受け取った応答がどちらでもないことを確認してください:

  • リセット
  • HTTP / 1.1 403 禁止

これらの応答のいずれかは通常、リクエストがブロックされており、有効なSSRFではないことを示しています.

このポリシーを遵守した結果

偶発的な訴訟を起こしたり、法執行機関に苦情を申し立てたりすることはありません。, このポリシーに対する誠実な違反. このポリシーに従って実施された活動は、コンピューター犯罪取締法に基づく「許可された」行為と見なされます。. あなたの活動が利用規定の特定の制限と矛盾する範囲で, このポリシーに基づいてセキュリティ調査を許可するという限られた目的のために、これらの制限を放棄します. 範囲内のアプリケーションを保護するために使用した技術的手段を回避したとして、DMCAの申し立てを行うことはありません。.

第三者によってあなたに対して法的措置が開始され、LogMeOnceのバグバウンティポリシーに準拠している場合, LogMeOnceは、あなたの行動がこのポリシーに従って行われたことを知らせるための措置を講じます.

ファインプリント

報酬に関連する税金を支払う責任はあなたにあります. 当社は、いつでもこのプログラムの条件を変更したり、このプログラムを終了したりすることがあります. これらのプログラム条件に加えた変更を遡及的に適用することはありません。. 法律で支払いが禁止されている個人からの報告は、報酬の対象外です. LogMeOnceの従業員とその家族は報奨金の対象にはなりません.

報告

すべての詳細をに送信します [email protected] 件名は「LogMeOnceVulnerabilityDisclosure」.

有効なビジネス用メールアドレスを含めてください, およびソーシャルメディアプロファイル.

例外

特に明記されていない限り, このポリシーに例外はありません.

手順保持期間: 恒久的に, または取って代わられるまで.

改訂/レビューサイクル: 毎年恒例

このポリシー/手順は、所有者またはその他の許可された当事者がいつでも改訂できることに注意してください. ここに記載されている期間は、手順が少なくとも正確性と関連性についてレビューされる前に、発行日から経過できる最大時間を確立しました.

改訂日: 08-2020

ビットコインブレンダー クリプトミキサー 最高のビットコインミキサー