ນະໂຍບາຍການເປີດເຜີຍຄວາມອ່ອນແອ

ຫນ້າທໍາອິດ - ນະໂຍບາຍການເປີດເຜີຍຄວາມອ່ອນແອ

ບົດສະຫຼຸບ

ທຸກໆມື້ປະເດັນຄວາມປອດໄພ ໃໝ່ ແລະການໂຈມຕີຄວາມປອດໄພທາງອິນເຕີເນັດຖືກສ້າງຂື້ນ. LogMeOnce ຈ້າງການພັດທະນາຄວາມປອດໄພທີ່ທັນສະ ໄໝ ໂດຍການເຮັດວຽກກັບນັກຄົ້ນຄວ້າແລະບໍລິສັດດ້ານຄວາມປອດໄພ. ຈຸດປະສົງຂອງເອກະສານນີ້ແມ່ນເພື່ອອະທິບາຍຂໍ້ ກຳ ນົດແລະເງື່ອນໄຂທີ່ພວກເຮົາຈະຈ່າຍຄ່າຕອບແທນ; ສຳ ລັບຂໍ້ບົກຜ່ອງທີ່ຖືກລາຍງານທາງດ້ານຈັນຍາບັນ.

ນະໂຍບາຍ

ການຮັກສາຂໍ້ມູນຂອງຜູ້ໃຊ້ໃຫ້ມີຄວາມປອດໄພແລະຄວາມປອດໄພແມ່ນເປັນບຸລິມະສິດອັນດັບ ໜຶ່ງ ແລະເປັນຫຼັກການຫຼັກທີ່ LogMeOnce. ພວກເຮົາຍິນດີຕ້ອນຮັບການປະກອບສ່ວນຂອງນັກຄົ້ນຄວ້າດ້ານຄວາມປອດໄພພາຍນອກແລະຫວັງວ່າຈະໄດ້ຮັບລາງວັນ ສຳ ລັບການປະກອບສ່ວນອັນລ້ ຳ ຄ່າຂອງພວກເຂົາຕໍ່ຄວາມປອດໄພຂອງພະນັກງານແລະຜູ້ ນຳ ໃຊ້ LogMeOnce ທັງ ໝົດ..

ລາງວັນ

LogMeOnce ໃຫ້ລາງວັນແກ່ນັກຂ່າວທີ່ມີຄວາມສ່ຽງຕາມການຕັດສິນໃຈຂອງຕົນ (ເບິ່ງ“ ການລາຍງານ” ຢ່າງຖືກຕ້ອງ). ລາງວັນຂອງພວກເຮົາແມ່ນ $30 ໂດລາ ສຳ ລັບຜົນກະທົບຕໍ່າ, $50 ໂດລາ ສຳ ລັບຜົນກະທົບປານກາງ. ຈຳ ນວນລາງວັນອາດຈະແຕກຕ່າງກັນໄປຕາມຄວາມຮ້າຍແຮງຂອງຄວາມອ່ອນແອທີ່ລາຍງານແລະຄຸນນະພາບຂອງບົດລາຍງານ. ຈົ່ງຈື່ໄວ້ວ່ານີ້ບໍ່ແມ່ນການແຂ່ງຂັນຫລືການແຂ່ງຂັນ.

ຄໍາຮ້ອງສະຫມັກໃນຂອບເຂດ

ວິທີແກ້ໄຂ LogMeOnce ທີ່ ກຳ ລັງປະເຊີນຢູ່ພາຍນອກແລະຜະລິດຕະພັນ LogMeOnce ທີ່ໄດ້ຮັບການສະ ໜັບ ສະ ໜູນ ໃນປະຈຸບັນແມ່ນຢູ່ໃນຂອບເຂດ.

ການມີສິດແລະເປີດເຜີຍຄວາມຮັບຜິດຊອບ

ເພື່ອສົ່ງເສີມການຄົ້ນພົບແລະການລາຍງານຄວາມອ່ອນແອແລະເພີ່ມຄວາມປອດໄພຂອງຜູ້ໃຊ້, ພວກເຮົາຂໍໃຫ້ທ່ານ:

  • ປະຕິບັດຢ່າງຊື່ສັດເພື່ອຫລີກລ້ຽງການລະເມີດຄວາມເປັນສ່ວນຕົວ, ການ ທຳ ລາຍຂໍ້ມູນ, ແລະການຂັດຂວາງຫຼືການເຊື່ອມໂຊມຂອງການບໍລິການຂອງພວກເຮົາ (ລວມທັງການປະຕິເສດການບໍລິການ);
  • ຢ່າເຂົ້າເຖິງຫລືດັດແປງຂໍ້ມູນຫລືຂໍ້ມູນຂອງຜູ້ໃຊ້ຂອງພວກເຮົາ, ໂດຍບໍ່ໄດ້ຮັບອະນຸຍາດຢ່າງຊັດເຈນຈາກເຈົ້າຂອງ. ຕິດຕໍ່ພົວພັນກັບບັນຊີຂອງທ່ານເອງຫຼືບັນຊີທົດສອບ ສຳ ລັບຈຸດປະສົງການຄົ້ນຄວ້າຄວາມປອດໄພເທົ່ານັ້ນ;
  • ຕິດຕໍ່ພວກເຮົາທັນທີຖ້າທ່ານປະສົບຂໍ້ມູນຜູ້ໃຊ້ແບບບໍ່ໄດ້ຕັ້ງໃຈ. ຢ່າເບິ່ງ, ປ່ຽນແປງ, ປະຢັດ, ຮ້ານ, ການໂອນຍ້າຍ, ຫຼືຖ້າບໍ່ດັ່ງນັ້ນເຂົ້າເຖິງຂໍ້ມູນ, ແລະລ້າງຂໍ້ມູນທ້ອງຖິ່ນໃດ ໜຶ່ງ ໂດຍທັນທີເມື່ອລາຍງານຄວາມອ່ອນແອກັບ LogMeOnce;
  • ກະລຸນາເຄົາລົບ ຄຳ ຮ້ອງສະ ໝັກ ທີ່ມີຢູ່ຂອງພວກເຮົາ. ແບບຟອມ Spamming ຜ່ານເຄື່ອງສະແກນເນີທີ່ມີຄວາມສ່ຽງໂດຍອັດຕະໂນມັດຈະບໍ່ມີຜົນຕອບແທນໃດໆຫລືລາງວັນເນື່ອງຈາກສິ່ງເຫຼົ່ານັ້ນບໍ່ມີຂອບເຂດ;
  • ແບ່ງປັນບັນຫາຄວາມປອດໄພກັບພວກເຮົາໂດຍລະອຽດ;
  • ໃຫ້ພວກເຮົາມີເວລາທີ່ ເໝາະ ສົມເພື່ອຕອບສະ ໜອງ ບັນຫາ; ແລະ
  • ຖ້າບໍ່ດັ່ງນັ້ນປະຕິບັດຕາມກົດ ໝາຍ ທີ່ ນຳ ໃຊ້ທັງ ໝົດ.

ພວກເຮົາພຽງແຕ່ໃຫ້ລາງວັນນັກຂ່າວຄົນ ທຳ ອິດທີ່ມີຄວາມສ່ຽງ. ການເປີດເຜີຍສາທາລະນະຂອງຄວາມສ່ຽງແມ່ນບໍ່ໄດ້ຮັບອະນຸຍາດແລະຈະຍົກເລີກລາງວັນທີ່ຍັງຄ້າງ. ພວກເຮົາສະຫງວນສິດທີ່ຈະຕັດສິດບຸກຄົນອອກຈາກໂຄງການ ສຳ ລັບການປະພຶດທີ່ບໍ່ເຄົາລົບຫລືລົບກວນ.

ພວກເຮົາຈະບໍ່ເຈລະຈາເພື່ອເປັນການຕອບໂຕ້ກັບການຂົ່ມຂູ່ຫຼືການຂົ່ມຂູ່ (ເຊັ່ນ:, ພວກເຮົາຈະບໍ່ເຈລະຈາກ່ຽວກັບ ຈຳ ນວນເງິນທີ່ຈ່າຍພາຍໃຕ້ໄພຂົ່ມຂູ່ຈາກການກີດກັ້ນຄວາມສ່ຽງຫຼືໄພຂົ່ມຂູ່ທີ່ຈະປ່ອຍຄວາມສ່ຽງຫຼືຂໍ້ມູນທີ່ເປີດເຜີຍຕໍ່ສາທາລະນະຊົນ.).

ຄວາມສ່ຽງທີ່ບໍ່ມີຂອບເຂດ

ບັນຫາຕໍ່ໄປນີ້ແມ່ນຢູ່ນອກຂອບເຂດຂອງໂຄງການລາງວັນຂອງພວກເຮົາ:

  • ນະໂຍບາຍຂອງພວກເຮົາກ່ຽວກັບການມີ / ບໍ່ມີການບັນທຶກ SPF / DMARC.
  • ລະຫັດຜ່ານ, ອີເມວ, ແລະນະໂຍບາຍບັນຊີ, ເຊັ່ນການຢັ້ງຢືນ id ອີເມວ, ປັບການ ໝົດ ອາຍຸຂອງລິ້ງ, ລະຫັດລັບສັບສົນ.
  • ຂາດຂອງ tokens CSRF (ເວັ້ນເສຍແຕ່ວ່າບໍ່ມີຫຼັກຖານຂອງຕົວຈິງ, ການກະ ທຳ ຂອງຜູ້ໃຊ້ທີ່ລະອຽດອ່ອນບໍ່ໄດ້ຖືກປ້ອງກັນໂດຍ token).
  • ເຂົ້າລະບົບ / ອອກຈາກ CSRF.
  • ການໂຈມຕີທີ່ຮຽກຮ້ອງໃຫ້ມີການເຂົ້າເຖິງທາງຮ່າງກາຍກັບອຸປະກອນຂອງຜູ້ໃຊ້.
  • ຂາດຫົວຂໍ້ຄວາມປອດໄພທີ່ບໍ່ ນຳ ໄປສູ່ຄວາມສ່ຽງໂດຍກົງ.
  • ຂາດການປະຕິບັດທີ່ດີທີ່ສຸດ (ພວກເຮົາຕ້ອງການຫຼັກຖານຂອງຄວາມສ່ຽງດ້ານຄວາມປອດໄພ).
  • ຕົນເອງ XSS (ພວກເຮົາຕ້ອງການຫຼັກຖານກ່ຽວກັບວິທີການໃຊ້ XSS ໃນການໂຈມຕີ).
  • ການສັກຢາໃສ່ຫົວຂອງເຈົ້າພາບເວັ້ນເສຍແຕ່ວ່າທ່ານສາມາດສະແດງວິທີທີ່ພວກເຂົາສາມາດ ນຳ ໄປສູ່ການລັກຂໍ້ມູນ.
  • ການ ນຳ ໃຊ້ຫໍສະມຸດທີ່ມີຄວາມສ່ຽງ (ໂດຍບໍ່ມີຫຼັກຖານຂອງການຂູດຮີດ).
  • ບັນຫາທີ່ກ່ຽວຂ້ອງກັບຊອບແວທີ່ບໍ່ແມ່ນ LogMeOnce.
  • ບົດລາຍງານຈາກເຄື່ອງມືອັດຕະໂນມັດຫຼືເຄື່ອງສະແກນ.
  • ບົດລາຍງານສະແປມ (i.e., ບົດລາຍງານໃດໆທີ່ກ່ຽວຂ້ອງກັບຄວາມສາມາດໃນການສົ່ງອີເມວໂດຍບໍ່ ຈຳ ກັດອັດຕາ).
  • ການໂຈມຕີທີ່ຮຽກຮ້ອງໃຫ້ແອັບ attack ຜູ້ໂຈມຕີມີສິດອະນຸຍາດໃຫ້ທັບຊ້ອນຢູ່ເທິງສຸດຂອງແອັບ our ຂອງພວກເຮົາ (ເຊັ່ນ:, tapjacking).
  • ຄວາມອ່ອນແອທີ່ມີຜົນກະທົບຕໍ່ຜູ້ໃຊ້ຂອງໂປແກຼມທ່ອງເວັບທີ່ເກົ່າແກ່ແລະເວທີຕ່າງໆ.
  • ວິສະວະ ກຳ ສັງຄົມຂອງພະນັກງານຫລືຜູ້ຮັບ ເໝົາ LogMeOnce.
  • ຄວາມພະຍາຍາມທາງດ້ານຮ່າງກາຍໃດໆຕໍ່ກັບຊັບສິນຫລືສູນຂໍ້ມູນ LogMeOnce.
  • ການມີຄຸນລັກສະນະຂອງການຂຽນອັດຕະໂນມັດໃນແບບຟອມເວັບຕ່າງໆ.
  • ຫາຍທຸງຄຸກກີ້ໃສ່ cookies ທີ່ບໍ່ລະອຽດອ່ອນ.
  • ບົດລາຍງານຂອງ ciphers SSL / TLS ທີ່ບໍ່ປອດໄພ (ເວັ້ນເສຍແຕ່ວ່າທ່ານມີຫຼັກຖານສະແດງແນວຄວາມຄິດທີ່ເຮັດວຽກແລະບໍ່ພຽງແຕ່ລາຍງານຈາກເຄື່ອງສະແກນ).
  • ການເຂົ້າເຖິງຂໍ້ມູນໃດໆທີ່ຜູ້ໃຊ້ເປົ້າ ໝາຍ ຕ້ອງການໃຊ້ງານກັບມືຖືທີ່ມີຮາກ.
  • ບົດລາຍງານໃດໆກ່ຽວກັບການລັກລອບ DLL ໂດຍບໍ່ສະແດງໃຫ້ເຫັນວ່າມັນໄດ້ຮັບສິດທິພິເສດອັນໃດກໍ່ບໍ່ມີຂອບເຂດ.
  • ບົດລາຍງານໃດໆກ່ຽວກັບວິທີແກ້ໄຂ LogMeOnce ສາມາດຖືກ ນຳ ໃຊ້ເພື່ອຮັບໃຊ້ມັນແວ.
  • ຄວາມອ່ອນແອຂອງເນື້ອຫາທີ່ຫຼອກລວງ (ບ່ອນທີ່ທ່ານສາມາດໃສ່ພຽງແຕ່ຂໍ້ຄວາມຫລືຮູບພາບລົງໃນ ໜ້າ ເວັບ) ອອກຈາກຂອບເຂດ.
  • ພວກເຮົາຈະຍອມຮັບແລະແກ້ໄຂຄວາມສ່ຽງທີ່ຫຼອກລວງເຊິ່ງຜູ້ໂຈມຕີສາມາດໃສ່ຮູບພາບຫຼືຂໍ້ຄວາມທີ່ອຸດົມສົມບູນ (HTML), ແຕ່ວ່າມັນບໍ່ມີສິດໄດ້ຮັບເງິນອຸດຫນູນ. ການສີດຂໍ້ຄວາມທີ່ບໍລິສຸດແມ່ນເກີນຂອບເຂດ.
  • ຄວາມສາມາດທີ່ຈະແບ່ງປັນການເຊື່ອມຕໍ່ໂດຍບໍ່ຕ້ອງຢັ້ງຢືນອີເມວ.
  • ຂາດການ ຈຳ ກັດອັດຕາ, ເວັ້ນເສຍແຕ່ກ່ຽວຂ້ອງກັບການກວດສອບຄວາມຖືກຕ້ອງ.
  • ຈຸດອ່ອນຂອງການດາວໂຫລດໄຟລ໌ທີ່ສະທ້ອນຫຼືຂໍ້ບົກພ່ອງຕ່າງໆທີ່ຊ່ວຍໃຫ້ທ່ານເລີ່ມຕົ້ນດາວໂຫລດກັບຄອມພິວເຕີ້ຂອງຜູ້ໃຊ້ແມ່ນບໍ່ມີຂອບເຂດ.
  • IP / Port Scanning ຜ່ານບໍລິການ LogMeOnce ເວັ້ນເສຍແຕ່ວ່າທ່ານສາມາດຕີ IPs ສ່ວນຕົວຫລືເຄື່ອງແມ່ຂ່າຍ LogMeOnce.
  • ອຸປະກອນຕ່າງໆ (ios, android, desktop apps) ບໍ່ໄດ້ເຊື່ອມໂຍງກັບການປ່ຽນລະຫັດຜ່ານ.
  • ການສີດ hyperlink ຫຼືການເຊື່ອມຕໍ່ເຊື່ອມຕໍ່ໃດໆໃນອີເມວທີ່ພວກເຮົາສົ່ງ.
  • ການສ້າງຫລາຍບັນຊີໂດຍໃຊ້ອີເມວດຽວກັນກໍ່ຍັງບໍ່ມີຂອບເຂດ.
  • ຄວາມສ່ຽງໃນການຫລອກລວງຜ່ານບັນຫາ unicode / punycode ຫຼື RTLO.
  • ສາມາດອັບໂຫລດເອກະສານດ້ວຍການຂະຫຍາຍທີ່ບໍ່ຖືກຕ້ອງໃນຕົວເລືອກ.
  • ແກ້ໄຂ Github wikis.

ບັນທຶກກ່ຽວກັບການຍື່ນເອກະສານ SSRF

ກ່ອນທີ່ຈະສົ່ງບົດລາຍງານຂອງ SSRF, ກະລຸນາຮັບປະກັນວ່າ ຄຳ ຕອບທີ່ທ່ານ ກຳ ລັງໄດ້ຮັບແມ່ນບໍ່:

  • ຕັ້ງຄ່າ ໃໝ່
  • HTTP / 1.1 403 ຫ້າມ

ທັງສອງ ຄຳ ຕອບເຫຼົ່ານີ້ມັກຈະຊີ້ໃຫ້ເຫັນວ່າ ຄຳ ຮ້ອງຂໍຂອງທ່ານຖືກບລັອກແລະບໍ່ແມ່ນ SSRF ທີ່ຖືກຕ້ອງ.

ຜົນສະທ້ອນຂອງການປະຕິບັດຕາມນະໂຍບາຍນີ້

ພວກເຮົາຈະບໍ່ ດຳ ເນີນຄະດີແພ່ງຫຼື ດຳ ເນີນການຮ້ອງທຸກຕໍ່ການບັງຄັບໃຊ້ກົດ ໝາຍ ໂດຍບັງເອີນ, ການລະເມີດນະໂຍບາຍທີ່ຊື່ສັດ. ພວກເຮົາພິຈາລະນາກິດຈະ ກຳ ທີ່ ດຳ ເນີນງານຢ່າງສອດຄ່ອງກັບນະໂຍບາຍນີ້ເພື່ອປະກອບເປັນການກະ ທຳ ທີ່ຖືກອະນຸຍາດພາຍໃຕ້ກົດ ໝາຍ ການສໍ້ໂກງຄອມພິວເຕີ້ແລະການລ່ວງລະເມີດ. ໃນຂອບເຂດທີ່ກິດຈະ ກຳ ຂອງທ່ານບໍ່ສອດຄ່ອງກັບຂໍ້ ຈຳ ກັດບາງຢ່າງໃນນະໂຍບາຍການ ນຳ ໃຊ້ທີ່ຍອມຮັບຂອງພວກເຮົາ, ພວກເຮົາຍົກເວັ້ນຂໍ້ ຈຳ ກັດເຫຼົ່ານັ້ນ ສຳ ລັບຈຸດປະສົງທີ່ ຈຳ ກັດໃນການອະນຸຍາດໃຫ້ຄົ້ນຄ້ວາຄວາມປອດໄພພາຍໃຕ້ນະໂຍບາຍນີ້. ພວກເຮົາຈະບໍ່ ນຳ ເອົາ ຄຳ ຮຽກຮ້ອງ DMCA ຕໍ່ທ່ານ ສຳ ລັບການຫລີກລ້ຽງມາດຕະການເຕັກໂນໂລຢີທີ່ພວກເຮົາໄດ້ ນຳ ໃຊ້ເພື່ອປົກປ້ອງ ຄຳ ຮ້ອງສະ ໝັກ ໃນຂອບເຂດ.

ຖ້າຫາກວ່າການ ດຳ ເນີນການທາງກົດ ໝາຍ ໄດ້ຖືກລິເລີ່ມໂດຍບຸກຄົນທີສາມຕໍ່ທ່ານແລະທ່ານໄດ້ປະຕິບັດຕາມນະໂຍບາຍ Bounty ຂອງ LogMeOnce, LogMeOnce ຈະ ດຳ ເນີນບາດກ້າວເພື່ອເຮັດໃຫ້ຮູ້ວ່າການກະ ທຳ ຂອງທ່ານໄດ້ຖືກ ດຳ ເນີນໄປໃນນະໂຍບາຍນີ້.

ການພິມລະອຽດ

ທ່ານຮັບຜິດຊອບຈ່າຍຄ່າພາສີໃດໆທີ່ກ່ຽວຂ້ອງກັບລາງວັນ. ພວກເຮົາອາດຈະດັດແປງເງື່ອນໄຂຂອງໂປຣແກຣມນີ້ຫຼືຢຸດຕິໂຄງການນີ້ໄດ້ທຸກເວລາ. ພວກເຮົາຈະບໍ່ ນຳ ໃຊ້ການປ່ຽນແປງໃດໆທີ່ພວກເຮົາເຮັດກັບຂໍ້ ກຳ ນົດຂອງໂປແກຼມເຫຼົ່ານີ້. ລາຍງານຈາກບຸກຄົນທີ່ພວກເຮົາຖືກກົດ ໝາຍ ຫ້າມບໍ່ໃຫ້ຈ່າຍແມ່ນບໍ່ມີສິດໄດ້ຮັບຜົນຕອບແທນ. ພະນັກງານຂອງ LogMeOnce ແລະສະມາຊິກໃນຄອບຄົວຂອງພວກເຂົາບໍ່ມີສິດໄດ້ຮັບເງິນອຸດ ໜູນ.

ການລາຍງານ

ສົ່ງລາຍລະອຽດທັງ ໝົດ ໃຫ້ [email protected] ດ້ວຍຫົວຂໍ້“ ເປີດເຜີຍຄວາມອ່ອນແອ LogMeOnce”.

ກະລຸນາໃສ່ທີ່ຢູ່ອີເມວທຸລະກິດທີ່ຖືກຕ້ອງ, ແລະໂປຼໄຟລ໌ສື່ສັງຄົມ.

ຂໍ້ຍົກເວັ້ນ

ຍົກເວັ້ນຕາມທີ່ໄດ້ລະບຸໄວ້ເປັນຢ່າງອື່ນ, ບໍ່ມີຂໍ້ຍົກເວັ້ນຕໍ່ນະໂຍບາຍນີ້.

ຂັ້ນຕອນການຮັກສາຂັ້ນຕອນ: ຖາວອນ, ຫຼືຈົນກວ່າຈະປ່ຽນແທນ.

ການທົບທວນ / ທົບທວນຮອບວຽນ: ປະ ຈຳ ປີ

ໃຫ້ສັງເກດວ່ານະໂຍບາຍ / ຂັ້ນຕອນນີ້ສາມາດປັບປຸງ ໃໝ່ ໄດ້ທຸກເວລາໂດຍເຈົ້າຂອງຫລືພາກສ່ວນອື່ນທີ່ໄດ້ຮັບອະນຸຍາດ. ໄລຍະເວລາທີ່ໄດ້ລະບຸໄວ້ໃນນີ້ໄດ້ສ້າງເວລາສູງສຸດທີ່ສາມາດແຜ່ລາມນັບແຕ່ວັນທີອອກກ່ອນວັນທີລະບຽບການຢ່າງ ໜ້ອຍ ໄດ້ຮັບການທົບທວນເພື່ອຄວາມຖືກຕ້ອງແລະຄວາມກ່ຽວຂ້ອງ.

ວັນທີດັດແກ້: 08-2020