취약성 공개 정책

- 취약성 공개 정책

요약

매일 새로운 보안 문제와 사이버 보안 공격이 발생합니다.. LogMeOnce는 보안 연구원 및 회사와 협력하여 최첨단 보안 개발을 사용합니다.. 이 문서의 목적은 우리가 현상금을 지불하는 조건을 설명하는 것입니다.; 윤리적으로보고 된 버그.

수단

사용자 정보를 안전하게 유지하는 것은 LogMeOnce의 최우선 순위이자 핵심 원칙입니다.. 우리는 외부 보안 연구원의 기여를 환영하며 모든 LogMeOnce 직원 및 사용자의 보안에 대한 귀중한 공헌에 대해 감사합니다..

보상

LogMeOnce는 재량에 따라 취약성보고자에게 보상을 제공합니다. (제대로 "보고"참조). 우리의 보상은 $30 영향이 적은 USD, $50 중간 수준의 경우 USD. 보상 금액은보고 된 취약성의 심각도 및 보고서의 품질에 따라 달라질 수 있습니다.. 이것은 콘테스트 나 경쟁이 아닙니다..

적용 범위

외부를 향한 LogMeOnce 솔루션 및 현재 지원되는 LogMeOnce 제품이 범위 내에 있음.

자격 및 책임있는 공개

취약성의 발견 및보고를 촉진하고 사용자 안전을 높이기 위해, 우리는 당신에게 부탁합니다:

  • 개인 정보 침해를 방지하기 위해 선의로 행동합니다., 데이터 파괴, 서비스 중단 또는 저하 (서비스 거부 포함);
  • 당사 데이터 또는 사용자 데이터에 액세스하거나 수정하지 마십시오., 소유자의 명시적인 허가없이. 보안 연구 목적으로 만 자신의 계정 또는 테스트 계정과 상호 작용합니다.;
  • 실수로 사용자 데이터를 접한 경우 즉시 문의하십시오.. 보지마, 바꾸다, 저장, 저장, 이전, 또는 데이터에 액세스, LogMeOnce에 취약점을보고하는 즉시 모든 로컬 정보를 제거합니다.;
  • 우리의 기존 응용 프로그램을 존중하십시오. 자동화 된 취약성 스캐너를 통한 스팸 양식은 명시 적으로 범위를 벗어 났으므로 어떠한 현상금이나 보상도받지 않습니다.;
  • 보안 문제를 자세히 공유;
  • 문제에 대응할 수있는 합리적인 시간을주십시오.; 과
  • 그렇지 않으면 모든 관련 법률을 준수하십시오..

우리는 취약점을 처음보고 한 사람에게만 보상합니다.. 취약성의 공개는 허용되지 않으며 보류중인 보상이 취소됩니다.. 우리는 무례하거나 파괴적인 행동으로 인해 프로그램에서 개인을 실격시킬 권리가 있습니다..

우리는 협박이나 위협에 대응하여 협상하지 않을 것입니다 (예를 들면, 우리는 취약성을 보류하겠다는 위협이나 취약성 또는 노출 된 데이터를 대중에게 공개하겠다는 위협 하에서 지불 금액을 협상하지 않을 것입니다.).

범위를 벗어난 취약성

다음 문제는 보상 프로그램의 범위를 벗어납니다.:

  • SPF / DMARC 기록의 유무에 대한 Google 정책.
  • 암호, 이메일, 및 계정 정책, 이메일 ID 확인과 같은, 링크 만료 재설정, 암호 복잡성.
  • CSRF 토큰 부족 (실제 증거가없는 한, 토큰으로 보호되지 않는 민감한 사용자 작업).
  • CSRF 로그인 / 로그 아웃.
  • 사용자 기기에 물리적으로 접근해야하는 공격.
  • 취약점으로 직접 연결되지 않는 누락 된 보안 헤더.
  • 누락 된 모범 사례 (보안 취약점의 증거가 필요합니다).
  • Self-XSS (XSS가 공격에 어떻게 사용될 수 있는지에 대한 증거가 필요합니다.).
  • 데이터 도용으로 이어질 수있는 방법을 보여줄 수없는 경우 호스트 헤더 삽입.
  • 알려진 취약 라이브러리 사용 (악용 가능성의 증거없이).
  • 버그가있는 비 LogMeOnce 소프트웨어와 관련된 문제.
  • 자동화 된 도구 또는 스캔의 보고서.
  • 스팸 신고 (즉, 속도 제한없이 이메일을 보내는 기능과 관련된 모든 보고서).
  • 공격자 앱이 앱 위에 오버레이 할 수있는 권한을 가져야하는 공격 (예를 들면, 도청).
  • 오래된 브라우저 또는 플랫폼 사용자에게 영향을 미치는 취약성.
  • LogMeOnce 직원 또는 계약자의 사회 공학.
  • LogMeOnce 속성 또는 데이터 센터에 대한 물리적 시도.
  • 웹 양식에 자동 완성 속성의 존재.
  • 민감하지 않은 쿠키에서 누락 된 쿠키 플래그.
  • 안전하지 않은 SSL / TLS 암호 보고서 (스캐너의 보고서가 아니라 작동하는 개념 증명이없는 경우).
  • 대상 사용자가 루팅 된 모바일 장치를 운영해야하는 데이터에 대한 모든 액세스.
  • 새로운 권한을 얻는 방법을 보여주지 않고 DLL 하이재킹에 대한 보고서도 범위를 벗어납니다..
  • LogMeOnce 솔루션을 사용하여 맬웨어를 처리하는 방법에 대한 모든 보고서.
  • 콘텐츠 스푸핑 취약성 (페이지에 텍스트 나 이미지 만 삽입 할 수있는 곳) 범위를 벗어남.
  • 공격자가 이미지 또는 서식있는 텍스트를 삽입 할 수있는 스푸핑 취약점을 수용하고 해결합니다. (HTML), 하지만 현상금은받을 수 없습니다. 순수 텍스트 주입은 범위를 벗어납니다..
  • 이메일을 확인하지 않고 링크를 공유하는 기능.
  • 속도 제한 없음, 인증과 관련이없는 한.
  • 반영된 파일 다운로드 취약성 또는 사용자 컴퓨터에 다운로드를 시작할 수있는 모든 취약성은 범위를 벗어납니다..
  • 개인 IP 또는 LogMeOnce 서버에 도달 할 수없는 경우 LogMeOnce 서비스를 통한 IP / 포트 스캔.
  • 장치 (iOS, 기계적 인조 인간, 데스크탑 앱) 비밀번호 변경시 연결 해제되지 않음.
  • 우리가 보내는 이메일에 하이퍼 링크 삽입 또는 링크 삽입.
  • 동일한 이메일을 사용하여 여러 계정을 만드는 것도 범위를 벗어납니다..
  • 유니 코드 / 퓨니 코드 또는 RTLO 문제를 통한 피싱 위험.
  • 선택기에서 잘못된 확장자를 가진 파일을 업로드 할 수 있음.
  • 편집 가능한 Github 위키.

SSRF 제출에 대한 참고 사항

SSRF 보고서를 제출하기 전에, 귀하가 받고있는 응답이:

  • 초기화
  • HTTP / 1.1 403 금지

이러한 응답 중 하나는 일반적으로 요청이 차단되었으며 유효한 SSRF가 아님을 나타냅니다..

이 정책 준수의 결과

우리는 민사 소송을 제기하거나 우발적 인 경우 법 집행 기관에 불만을 제기하지 않습니다., 이 정책의 선의의 위반. 이 정책에 따라 수행되는 활동은 컴퓨터 사기 및 남용 법에 따라 "승인 된"행위로 간주됩니다.. 귀하의 활동이 당사의 서비스 이용 정책의 특정 제한 사항과 일치하지 않는 경우, 우리는이 정책에 따라 보안 연구를 허용하는 제한된 목적을 위해 이러한 제한을 면제합니다.. 범위 내에서 응용 프로그램을 보호하기 위해 사용한 기술적 조치를 우회 한 것에 대해 DMCA 청구를 제기하지 않습니다..

제 3자가 귀하에 대해 법적 조치를 취하고 귀하가 LogMeOnce의 버그 바운티 정책을 준수한 경우, LogMeOnce는 귀하의 작업이이 정책에 따라 수행되었음을 알리는 조치를 취할 것입니다..

작은 글씨

귀하는 보상과 관련된 모든 세금을 지불 할 책임이 있습니다.. 당사는 언제든지이 프로그램의 약관을 수정하거나이 프로그램을 종료 할 수 있습니다.. 이러한 프로그램 약관에 대한 변경 사항은 소급 적용되지 않습니다.. 법률에 따라 지불이 금지 된 개인의 신고는 보상을받을 수 없습니다.. LogMeOnce 직원과 그 가족은 바운티를받을 수 없습니다..

보고

모든 세부 정보를 [email protected] 제목 줄 "LogMeOnce Vulnerability Disclosure".

유효한 비즈니스 이메일 주소를 입력하세요., 및 소셜 미디어 프로필.

예외

달리 명시된 경우를 제외하고, 이 정책에는 예외가 없습니다.

절차 보유 기간: 영구적으로, 또는 대체 될 때까지.

개정 / 검토주기: 일년생 식물

이 정책 / 절차는 소유자 또는 기타 권한있는 당사자가 언제든지 수정할 수 있습니다.. 여기에 언급 된 기간은 절차가 최소한 정확성과 관련성을 검토하기 전에 발행일 이후 경과 할 수있는 최대 시간을 설정했습니다..

개정일: 08-2020

비트코인 블렌더 크립토믹서 최고의 비트코인 ​​믹서