Pravidlá zverejňovania zraniteľností

Domov - Pravidlá zverejňovania zraniteľností

Zhrnutie

Každý deň vznikajú nové bezpečnostné problémy a kybernetické bezpečnostné útoky. LogMeOnce využíva najmodernejší bezpečnostný vývoj v spolupráci s bezpečnostnými výskumníkmi a spoločnosťami. Účelom tohto dokumentu je načrtnúť podmienky, za ktorých budeme vyplácať odmeny; pre eticky hlásené chyby.

Politika

Udržiavanie bezpečnosti a spoľahlivosti informácií o používateľovi je najvyššou prioritou a základným princípom v LogMeOnce. Vítame príspevok externých výskumníkov v oblasti bezpečnosti a tešíme sa na ich ocenenie za neoceniteľný príspevok k bezpečnosti všetkých zamestnancov a používateľov LogMeOnce..

Odmeny

LogMeOnce poskytuje odmeny reportérom zraniteľnosti podľa vlastného uváženia (pozri správne „Hlásenie“). Naša odmena je $30 USD za malý dopad, $50 USD pre stredný dopad. Výška odmeny sa môže líšiť v závislosti od závažnosti hlásenej zraniteľnosti a kvality hlásenia. Majte na pamäti, že nejde o súťaž alebo súťaž.

Rozsah pôsobnosti

Rozsahom sú riešenia LogMeOnce zamerané na externé produkty a aktuálne podporované produkty LogMeOnce.

Oprávnenosť a zodpovedné zverejnenie

Podporovať objavovanie a ohlasovanie zraniteľností a zvyšovať bezpečnosť používateľov, prosíme ťa:

  • Konajte v dobrej viere, aby ste zabránili porušovaniu ochrany súkromia, zničenie údajov, a prerušenie alebo zhoršenie našich služieb (vrátane odmietnutia služby);
  • Nepristupujte ani neupravujte naše údaje ani údaje našich používateľov, bez výslovného súhlasu majiteľa. Interakcia iba s vašimi vlastnými účtami alebo testovacími účtami na účely bezpečnostného výskumu;
  • Ak narazíte na údaje používateľa, okamžite nás kontaktujte. Nepozeraj, pozmeniť, uložiť, obchod, prevod, alebo inak pristupovať k údajom, a okamžite nahláste všetky miestne informácie po nahlásení chyby zabezpečenia LogMeOnce;
  • Prosíme o rešpektovanie našich existujúcich aplikácií. Spamovanie formulárov prostredníctvom automatizovaných skenerov zraniteľnosti nebude mať za následok žiadne odmeny alebo ocenenia, pretože tieto sú výslovne mimo rozsahu;
  • Podeľte sa s nami o problém zabezpečenia podrobne;
  • Dajte nám primeraný čas na odpoveď na problém; a
  • Inak dodržiavajte všetky príslušné zákony.

Odmeňujeme iba prvého reportéra zraniteľnosti. Zverejnenie zraniteľnosti nie je povolené a zruší čakajúcu odmenu. Vyhradzujeme si právo diskvalifikovať jednotlivcov z programu za neúctivé alebo rušivé správanie.

Nebudeme rokovať v reakcii na nátlak alebo hrozby (napr., nebudeme vyjednávať o výplatnej čiastke pod hrozbou zadržania zraniteľnosti alebo hrozby zverejnenia zraniteľnosti alebo akýchkoľvek exponovaných údajov pre verejnosť).

Zraniteľnosti mimo rozsah

Nasledujúce problémy nepatria do rámca nášho programu odmien:

  • Naše zásady týkajúce sa prítomnosti / neprítomnosti záznamov SPF / DMARC.
  • heslo, e-mail, a pravidlá účtu, napríklad overenie e-mailovej adresy, obnoviť vypršanie platnosti odkazu, zložitosť hesla.
  • Nedostatok tokenov CSRF (pokiaľ neexistujú dôkazy o skutočnosti, citlivá akcia používateľa nie je chránená tokenom).
  • Prihlásenie / odhlásenie z CSRF.
  • Útoky vyžadujúce fyzický prístup k zariadeniu používateľa.
  • Chýbajúce hlavičky zabezpečenia, ktoré nevedú priamo k zraniteľnosti.
  • Chýbajúce osvedčené postupy (požadujeme dôkaz o chybe zabezpečenia).
  • Self-XSS (požadujeme dôkazy o tom, ako sa dá XSS použiť pri útoku).
  • Hostite hlavičkové injekcie, pokiaľ neukážete, ako môžu viesť k odcudzeniu údajov.
  • Využitie známej zraniteľnej knižnice (bez dôkazov o využiteľnosti).
  • Problémy týkajúce sa chybného softvéru iného ako LogMeOnce.
  • Správy z automatizovaných nástrojov alebo skenov.
  • Správy o spamu (tj., akékoľvek správy týkajúce sa možnosti posielať e-maily bez obmedzenia rýchlosti).
  • Útoky, ktoré si vyžadujú, aby útočnícka aplikácia mala povolenie na prekrytie navrchu našej aplikácie (napr., tapjacking).
  • Zraniteľnosti ovplyvňujúce používateľov zastaraných prehľadávačov alebo platforiem.
  • Sociálne inžinierstvo zamestnancov alebo dodávateľov LogMeOnce.
  • Akékoľvek fyzické pokusy proti majetku LogMeOnce alebo dátovým centrám.
  • Prítomnosť atribútu automatického dokončovania vo webových formulároch.
  • Na necitlivých súboroch cookie chýbajú príznaky súborov cookie.
  • Správy o nezabezpečených šifrách SSL / TLS (pokiaľ nemáte funkčný dôkaz o koncepcii a nielen správu zo skenera).
  • Akýkoľvek prístup k údajom, pri ktorých musí cieľový používateľ prevádzkovať rootované mobilné zariadenie.
  • Akákoľvek správa o únose DLL bez ukážky toho, ako získava nové privilégiá, je tiež mimo rozsahu pôsobnosti.
  • Akákoľvek správa o tom, ako môžu byť riešenia LogMeOnce použité na poskytovanie škodlivého softvéru.
  • Zraniteľnosti týkajúce sa falšovania obsahu (kde na stránku môžete vložiť iba text alebo obrázok) sú mimo rozsahu pôsobnosti.
  • Prijmeme a vyriešime falošnú chybu zabezpečenia, pri ktorej môže útočník vložiť obrázok alebo formátovaný text (HTML), ale nemá nárok na odmenu. Vkladanie čistého textu je mimo rozsahu.
  • Schopnosť zdieľať odkazy bez overenia e-mailu.
  • Absencia obmedzenia rýchlosti, pokiaľ to nesúvisí s autentifikáciou.
  • Odrazené chyby zabezpečenia pri sťahovaní súborov alebo akékoľvek chyby zabezpečenia, ktoré vám umožnia spustiť sťahovanie do počítača používateľa, sú mimo rozsahu pôsobnosti.
  • Skenovanie IP / portov prostredníctvom služieb LogMeOnce, pokiaľ nemôžete zasiahnuť súkromné ​​IP alebo servery LogMeOnce.
  • Zariadenia (ios, Android, desktopové aplikácie) neprichádza odpojenie pri zmene hesla.
  • Vloženie hypertextového odkazu alebo akékoľvek vloženie odkazu do e-mailov, ktoré odosielame.
  • Vytváranie viacerých účtov pomocou rovnakého e-mailu tiež nie je v rozsahu.
  • Riziko phishingu prostredníctvom problémov s kódmi unicode / punycode alebo RTLO.
  • Byť schopný vo výbere nahrať súbory s nesprávnou príponou.
  • Upraviteľné wiki stránky Github.

Poznámky k príspevkom SSRF

Pred odoslaním správy SSRF, Uistite sa, že odpoveď, ktorú dostávate, nie je ani jedna:

  • vynulovať
  • HTTP / 1.1 403 Zakázané

Každá z týchto odpovedí zvyčajne naznačuje, že vaša žiadosť bola zablokovaná, a nejde o platný SSRF.

Dôsledky dodržiavania tejto politiky

Nebudeme pokračovať v občianskoprávnej žalobe ani nebudeme iniciovať sťažnosť orgánov činných v trestnom konaní pre náhodnosť, porušenie týchto pravidiel v dobrej viere. Činnosti vykonávané v súlade s týmito zásadami považujeme za „autorizované“ konanie podľa zákona o počítačových podvodoch a zneužití. Pokiaľ vaše aktivity nie sú v súlade s určitými obmedzeniami v našich Pravidlách prijateľného použitia, od týchto obmedzení upúšťame s obmedzeným účelom povoľovania bezpečnostného výskumu v rámci tejto politiky. Nebudeme proti vám vznášať sťažnosti podľa zákona DMCA za obchádzanie technologických opatrení, ktoré sme použili na ochranu aplikácií v rozsahu.

Ak proti vám začne tretie strany právne kroky a vy ste dodržali pravidlá chyby spoločnosti LogMeOnce týkajúce sa chýb, LogMeOnce urobí kroky, aby oznámil, že vaše akcie boli vykonané v súlade s týmito zásadami.

Jemná tlač

Zodpovedáte za platenie daní spojených s odmenami. Podmienky tohto programu môžeme kedykoľvek upraviť alebo ukončiť. Žiadne zmeny, ktoré urobíme v týchto podmienkach programu, nebudeme uplatňovať spätne. Správy od jednotlivcov, ktorých platenie je podľa zákona zakázané, nie sú oprávnené na získanie odmien. Zamestnanci LogMeOnce a ich rodinní príslušníci nemajú nárok na odmeny.

hlásenie

Všetky podrobnosti pošlite používateľovi [email protected] s predmetom „Zverejnenie chyby zabezpečenia LogMeOnce“.

Uveďte platnú firemnú e-mailovú adresu, a profil na sociálnych sieťach.

Výnimky

Pokiaľ nie je uvedené inak, z tejto politiky neexistujú žiadne výnimky.

Obdobie uchovania postupu: Permanentne, alebo kým nebudú nahradené.

Cyklus revízií / kontroly: Výročný

Upozorňujeme, že tieto pravidlá alebo postup môže vlastník alebo iná oprávnená strana kedykoľvek revidovať. Tu uvedené časové obdobie stanovilo maximálny čas, ktorý môže uplynúť od dátumu vydania, skôr ako bude minimálne skontrolovaná presnosť a relevantnosť postupu.

Dátum kontroly: 08-2020

mixér bitcoinov kryptomixér najlepší bitcoinový mixér