Политика раскрытия информации об уязвимостях

Дом - Политика раскрытия информации об уязвимостях

Резюме

Каждый день возникают новые проблемы безопасности и атаки кибербезопасности. LogMeOnce использует самые современные разработки в области безопасности, работая с исследователями безопасности и компаниями.. Цель этого документа - изложить условия, на которых мы будем выплачивать вознаграждения.; для ошибок, сообщаемых с этической точки зрения.

политика

Обеспечение безопасности и сохранности пользовательской информации - главный приоритет и основной принцип LogMeOnce.. Мы приветствуем вклад внешних исследователей в области безопасности и с нетерпением ждем возможности наградить их за неоценимый вклад в безопасность всех сотрудников и пользователей LogMeOnce..

Награды

LogMeOnce предоставляет вознаграждение репортерам уязвимостей по своему усмотрению. (см. правильно «Отчетность»). Наша награда $30 USD за низкий уровень воздействия, $50 USD за средний удар. Суммы вознаграждения могут варьироваться в зависимости от серьезности обнаруженной уязвимости и качества отчета.. Имейте в виду, что это не конкурс или соревнование..

Приложения в сфере

Решения LogMeOnce, обращенные извне, и поддерживаемые в настоящее время продукты LogMeOnce входят в объем.

Право на участие и ответственное раскрытие информации

Содействовать обнаружению уязвимостей и сообщению о них, а также повышению безопасности пользователей., мы просим вас:

  • Действуйте добросовестно, чтобы избежать нарушения конфиденциальности, уничтожение данных, и прерывание или ухудшение наших услуг (включая отказ в обслуживании);
  • Не открывайте и не изменяйте наши данные или данные наших пользователей., без явного разрешения владельца. Взаимодействуйте со своими учетными записями или тестовыми учетными записями только в целях исследования безопасности.;
  • Немедленно свяжитесь с нами, если вы случайно столкнетесь с пользовательскими данными. Не просматривать, изменить, спасти, магазин, перевод, или иным образом получить доступ к данным, и немедленно удалите любую локальную информацию, сообщив об уязвимости в LogMeOnce.;
  • Пожалуйста, с уважением относитесь к нашим существующим приложениям. Распространение спама через автоматические сканеры уязвимостей не приведет к вознаграждению или награде, поскольку они явно выходят за рамки;
  • Расскажите нам о проблеме безопасности подробно;
  • Дайте нам разумное время, чтобы ответить на вопрос; и
  • В остальном соблюдайте все применимые законы..

Мы награждаем только первого докладчика об уязвимости. Публичное раскрытие уязвимости запрещено и приведет к отмене ожидаемого вознаграждения.. Мы оставляем за собой право дисквалифицировать людей из программы за неуважительное или деструктивное поведение..

Мы не будем вести переговоры в ответ на принуждение или угрозы (например, мы не будем вести переговоры о сумме выплаты под угрозой сокрытия уязвимости или угрозы раскрытия уязвимости или любых открытых данных для общественности).

Уязвимости за пределами охвата

Следующие вопросы выходят за рамки нашей программы вознаграждений:

  • Наша политика в отношении наличия / отсутствия записей SPF / DMARC.
  • пароль, электронное письмо, и политика учетной записи, например, проверка идентификатора электронной почты, сбросить срок действия ссылки, сложность пароля.
  • Отсутствие токенов CSRF (если нет доказательств фактического, чувствительное действие пользователя, не защищенное токеном).
  • Вход / выход CSRF.
  • Атаки, требующие физического доступа к устройству пользователя.
  • Отсутствуют заголовки безопасности, которые не приводят напрямую к уязвимости.
  • Отсутствующие передовые практики (нам нужны доказательства уязвимости системы безопасности).
  • Self-XSS (нам нужны доказательства того, как XSS может быть использован в атаке).
  • Инъекции заголовков хоста, если вы не можете показать, как они могут привести к краже данных.
  • Использование известной уязвимой библиотеки (без доказательств возможности использования).
  • Проблемы, связанные с ошибочным программным обеспечением, отличным от LogMeOnce.
  • Отчеты от автоматических инструментов или сканирований.
  • Сообщения о спаме (то есть, любой отчет, связанный с возможностью отправлять электронные письма без ограничений по скорости).
  • Атаки, требующие от злоумышленника разрешения на наложение поверх нашего приложения (например, взлом).
  • Уязвимости, влияющие на пользователей устаревших браузеров или платформ.
  • Социальная инженерия сотрудников или подрядчиков LogMeOnce.
  • Любые физические попытки проникновения в собственность или центры обработки данных LogMeOnce..
  • Наличие атрибута автозаполнения в веб-формах.
  • Отсутствуют флаги cookie для нечувствительных файлов cookie.
  • Отчеты о небезопасных шифров SSL / TLS (если у вас нет рабочего доказательства концепции, а не только отчета со сканера).
  • Любой доступ к данным, при котором целевой пользователь должен управлять мобильным устройством с root-доступом..
  • Любой отчет о захвате DLL без демонстрации того, как он получает новые привилегии, также выходит за рамки.
  • Любой отчет о том, как решения LogMeOnce можно использовать для обслуживания вредоносных программ..
  • Уязвимости подмены контента (где вы можете только вставить текст или изображение на страницу) выходят за рамки.
  • Мы примем и устраним уязвимость спуфинга, когда злоумышленник может ввести изображение или форматированный текст (HTML), но он не имеет права на награду. Внедрение чистого текста выходит за рамки.
  • Возможность делиться ссылками без подтверждения электронной почты.
  • Отсутствие ограничения скорости, если не связано с аутентификацией.
  • Уязвимости Reflected File Download или любые уязвимости, позволяющие начать загрузку на компьютер пользователя, выходят за рамки.
  • Сканирование IP / портов с помощью служб LogMeOnce, если вы не можете использовать частные IP-адреса или серверы LogMeOnce..
  • Устройства (iOS, андроид, настольные приложения) не отключается при смене пароля.
  • Внедрение гиперссылок или любых ссылок в отправляемых нами электронных письмах.
  • Создание нескольких учетных записей с использованием одного и того же адреса электронной почты также выходит за рамки.
  • Риск фишинга из-за проблем с Unicode / Punycode или RTLO.
  • Возможность загружать файлы с неправильным расширением в селектор.
  • Редактируемые вики-страницы Github.

Примечания к материалам SSRF

Перед отправкой отчета SSRF, убедитесь, что полученный вами ответ ни:

  • сброс настроек
  • HTTP / 1.1 403 Запрещено

Любой из этих ответов обычно указывает на то, что ваш запрос был заблокирован и не является действительным SSRF..

Последствия соблюдения данной политики

Мы не будем возбуждать гражданский иск или подавать жалобу в правоохранительные органы по случайным, добросовестные нарушения этой политики. Мы считаем, что действия, проводимые в соответствии с этой политикой, являются «санкционированными» действиями в соответствии с Законом о компьютерном мошенничестве и злоупотреблениях.. Если ваши действия не соответствуют определенным ограничениям в нашей Политике допустимого использования, мы отказываемся от этих ограничений с той ограниченной целью, чтобы разрешить исследования безопасности в соответствии с этой политикой. Мы не будем предъявлять претензии DMCA против вас за обход технологических мер, которые мы использовали для защиты приложений.

Если против вас инициирован судебный иск, и вы соблюдаете политику Bug Bounty LogMeOnce, LogMeOnce предпримет шаги, чтобы сообщить, что ваши действия были выполнены в соответствии с этой политикой..

Мелкий шрифт

Вы несете ответственность за уплату любых налогов, связанных с вознаграждениями.. Мы можем изменить условия этой программы или прекратить ее в любое время.. Мы не будем применять какие-либо изменения, которые мы вносим в эти условия программы, задним числом.. Сообщения от лиц, которым нам запрещено платить по закону, не имеют права на получение вознаграждения.. Сотрудники LogMeOnce и члены их семей не имеют права на вознаграждение.

Составление отчетов

Отправить все подробности на [email protected] с темой «Раскрытие уязвимости LogMeOnce».

Пожалуйста, укажите действующий рабочий адрес электронной почты, и профиль в социальных сетях.

Исключения

Если не указано иное, нет исключений из этой политики.

Срок хранения процедуры: Постоянно, или пока не будет заменено.

Проверка / цикл проверки: Годовой

Обратите внимание, что эта политика / процедура может быть изменена в любое время владельцем или другой уполномоченной стороной.. Указанный здесь период времени устанавливает максимальное время, которое может пройти с даты выпуска до того, как процедура будет, по крайней мере, проверена на точность и актуальность..

Дата проверки: 08-2020

биткойн-блендер криптомиксер лучший биткойн-миксер