Политика откривања рањивости

Кућа - Политика откривања рањивости

Резиме

Свакодневно се стварају нови безбедносни проблеми и напади на сајбер безбедност. ЛогМеОнце користи најсавременији развој безбедности у сарадњи са истраживачима безбедности и компанијама. Сврха овог документа је да опише услове и одредбе под којима ћемо платити благодати; за етички пријављене грешке.

Политика

Одржавање корисничких података на сигурном је главни приоритет и основни принцип ЛогМеОнце-а. Поздрављамо допринос спољних истраживача безбедности и радујемо се њиховој награди за њихов непроцењив допринос безбедности свих запослених и корисника ЛогМеОнце-а.

Награде

ЛогМеОнце пружа награде извештачима о рањивости по свом нахођењу (погледајте правилно „Извештавање“). Наша награда је $30 УСД за низак утицај, $50 УСД за средњи утицај. Износи награда могу се разликовати у зависности од тежине пријављене рањивости и квалитета извештаја. Имајте на уму да ово није такмичење или такмичење.

Примене у обиму

У опсегу су спољна решења ЛогМеОнце и тренутно подржани производи ЛогМеОнце.

Испуњавање услова и одговорно обелодањивање

Промовисати откривање и пријављивање рањивости и повећати сигурност корисника, тражимо од вас:

  • Понашајте се у доброј намери како бисте избегли кршење приватности, уништавање података, и прекид или деградација наших услуга (укључујући ускраћивање услуге);
  • Не приступајте нити мењајте наше податке или податке наших корисника, без изричите дозволе власника. Комуницирајте само са сопственим рачунима или пробним рачунима само у сврху истраживања безбедности;
  • Одмах нас контактирајте ако случајно наиђете на корисничке податке. Не гледајте, алтер, сачувати, продавница, пренос, или на други начин приступити подацима, и одмах очистите све локалне информације након пријављивања рањивости на ЛогМеОнце;
  • Молимо вас да поштујете наше постојеће апликације. Слање образаца путем аутоматских скенера за рањивост неће резултирати никаквом наградом или наградом, јер су оне изричито изван опсега;
  • Поделите са нама детаљно безбедносни проблем;
  • Дајте нам разумно време да одговоримо на проблем; и
  • У супротном се придржавајте свих важећих закона.

Награђујемо само првог извештача о рањивости. Јавно откривање рањивости није дозвољено и поништиће награду на чекању. Задржавамо право да дисквалификујемо појединце из програма због непоштовања или ометања.

Нећемо преговарати као одговор на принуду или претње (на пример., нећемо преговарати о износу исплате под претњом задржавања рањивости или претње пуштањем рањивости или било којих изложених података у јавност).

Рањивости изван домета

Следећа издања су изван делокруга нашег програма награђивања:

  • Наше смернице о присуству / одсуству СПФ / ДМАРЦ записа.
  • Лозинка, е-маил, и политике налога, као што је верификација имејл адресе, ресетовање истека везе, сложеност лозинке.
  • Недостатак ЦСРФ токена (осим ако не постоје докази о стварним, осетљива корисничка акција која није заштићена токеном).
  • Пријава / одјава ЦСРФ.
  • Напади који захтевају физички приступ корисниковом уређају.
  • Недостају сигурносна заглавља која не воде директно до рањивости.
  • Недостају најбоље праксе (потребни су нам докази о сигурносној рањивости).
  • Селф-КССС (потребни су нам докази о томе како се КССС може користити у нападу).
  • Хост ињекције заглавља, осим ако не покажете како оне могу довести до крађе података.
  • Коришћење познате рањиве библиотеке (без доказа о експлоатацији).
  • Проблеми у вези са програмским софтвером који није ЛогМеОнце.
  • Извештаји из аутоматизованих алата или скенирања.
  • Извештаји о нежељеној пошти (тј., било који извештај који укључује могућност слања е-поште без ограничења тарифе).
  • Напади за које је потребно да апликација нападач има дозволу за прекривање на врху наше апликације (на пример., тапкацкинг).
  • Рањивости које утичу на кориснике застарелих прегледача или платформи.
  • Социјални инжењеринг запослених или уговарача ЛогМеОнце-а.
  • Сваки физички покушај против имовине ЛогМеОнце или центара података.
  • Присуство атрибута самодовршавања на веб обрасцима.
  • Недостају заставице колачића на неосетљивим колачићима.
  • Извештаји о несигурним ССЛ / ТЛС шифрама (осим ако немате радни доказ о концепту, а не само извештај са скенера).
  • Сваки приступ подацима где циљани корисник треба да користи укорењени мобилни уређај.
  • Било који извештај о отмици ДЛЛ-а без показивања како стиче нове привилегије такође је ван домета.
  • Било који извештај о томе како се решења ЛогМеОнце могу користити за послуживање малвера.
  • Рањивости у преварама садржаја (где на страницу можете убризгати само текст или слику) су ван опсега.
  • Прихватит ћемо и ријешити лажну рањивост у којој нападач може убризгати слику или обогаћени текст (ХТМЛ), али не испуњава услове за награду. Убризгавање чистог текста је ван домета.
  • Могућност дељења веза без верификације е-поште.
  • Одсуство ограничења брзине, осим ако није повезано са аутентификацијом.
  • Откривене рањивости преузимања датотека или било које рањивости које вам омогућавају да започнете преузимање на корисников рачунар нису обухваћени.
  • Скенирање ИП / порта путем услуга ЛогМеОнце, осим ако не можете да погодите приватне ИП адресе или сервере ЛогМеОнце.
  • Уређаји (иос, андроид, десктоп апликације) неће доћи до прекида везе при промени лозинке.
  • Ињекција хипервеза или било која ињекција везе у е-порукама које шаљемо.
  • Стварање више налога помоћу исте е-поште такође је ван домета.
  • Ризик од крађе идентитета путем проблема са уницоде / пуницоде-ом или РТЛО-ом.
  • Могућност учитавања датотека са погрешним наставком у бирачу.
  • Гитхуб вики-ји који се могу уређивати.

Напомене о ССРФ поднесцима

Пре подношења ССРФ извештаја, уверите се да одговор који примате није ни један ни други:

  • ресетовати
  • ХТТП / 1.1 403 Забрањено

Било који од ових одговора обично указује на то да је ваш захтев блокиран и да није важећи ССРФ.

Последице поштовања ове политике

Нећемо покретати грађанску акцију нити покретати жалбу полицији због случајности, кршење ове политике у доброј вери. Сматрамо да се активности спроведене у складу са овом политиком представљају „овлашћено“ понашање према Закону о рачунарским преварама и злоупотребама. Уколико су ваше активности у супротности са одређеним ограничењима у нашој политици прихватљиве употребе, одричемо се тих ограничења с ограниченом сврхом да бисмо дозволили истраживање безбедности према овој политици. Нећемо поднети ДМЦА захтев против вас због заобилажења технолошких мера које смо користили за заштиту обима апликација.

Ако трећу страну против вас покрене правну акцију и поштовали сте смернице Лог Бгб програма ЛогМеОнце, ЛогМеОнце ће предузети кораке да стави до знања да су ваше радње спроведене у складу са овом смерницом.

Тхе Фине Принт

Одговорни сте за плаћање свих пореза повезаних са наградама. У било ком тренутку можемо изменити услове овог програма или га прекинути. Нећемо ретроактивно примењивати промене које унесемо у ове програмске услове. Извештаји појединаца којима нам је законом забрањено плаћање не испуњавају услове за награде. Запослени у ЛогМеОнцеу и чланови њихових породица не испуњавају услове за награде.

izveštavanje

Пошаљите све детаље на суппорт@ЛогМеОнце.цом са насловом „Откривање рањивости ЛогМеОнце“.

Наведите важећу пословну адресу е-поште, и профил на друштвеним мрежама.

Изузеци

Осим ако није другачије наведено, нема изузетака од ове политике.

Период задржавања поступка: Трајно, или док се не замени.

Циклус ревизије / прегледа: Годишњак

Имајте на уму да власник или друга овлашћена страна може у било ком тренутку ревидирати ову политику / поступак. Овде назначени временски период утврдио је максимално време које може протећи од датума издавања пре него што се поступак барем прегледа због тачности и релевантности.

Датум ревизије: 08-2020

битцоин блендер криптомиксер најбољи битцоин миксер