นโยบายการเปิดเผยช่องโหว่

บ้าน - นโยบายการเปิดเผยช่องโหว่

สรุป

ปัญหาด้านความปลอดภัยใหม่ ๆ และการโจมตีด้านความปลอดภัยไซเบอร์ทุกวันจะถูกสร้าง. LogMeOnce ใช้การพัฒนาด้านความปลอดภัยที่ล้ำสมัยโดยทำงานร่วมกับนักวิจัยด้านความปลอดภัยและ บริษัท ต่างๆ. เอกสารนี้มีวัตถุประสงค์เพื่อสรุปข้อกำหนดและเงื่อนไขที่เราจะจ่ายเงินรางวัล; สำหรับข้อบกพร่องที่รายงานอย่างมีจริยธรรม.

นโยบาย

การรักษาข้อมูลผู้ใช้ให้ปลอดภัยถือเป็นสิ่งสำคัญสูงสุดและเป็นหลักการสำคัญของ LogMeOnce. เรายินดีต้อนรับการมีส่วนร่วมของนักวิจัยด้านความปลอดภัยภายนอกและหวังว่าจะมอบรางวัลให้กับพวกเขาสำหรับการมีส่วนร่วมอันล้ำค่าในการรักษาความปลอดภัยของพนักงานและผู้ใช้ LogMeOnce ทั้งหมด.

รางวัล

LogMeOnce ให้รางวัลแก่ผู้สื่อข่าวที่มีช่องโหว่ตามดุลยพินิจของตน (ดู "การรายงาน" อย่างถูกต้อง). รางวัลของเราคือ $30 USD สำหรับผลกระทบต่ำ, $50 USD สำหรับผลกระทบปานกลาง. จำนวนรางวัลอาจแตกต่างกันไปขึ้นอยู่กับความรุนแรงของช่องโหว่ที่รายงานและคุณภาพของรายงาน. โปรดทราบว่านี่ไม่ใช่การแข่งขันหรือการแข่งขัน.

การใช้งานในขอบเขต

หันหน้าไปทางภายนอกโซลูชัน LogMeOnce และผลิตภัณฑ์ LogMeOnce ที่รองรับในปัจจุบันอยู่ในขอบเขต.

การมีสิทธิ์และการเปิดเผยข้อมูลอย่างมีความรับผิดชอบ

เพื่อส่งเสริมการค้นพบและการรายงานช่องโหว่และเพิ่มความปลอดภัยของผู้ใช้, เราขอให้คุณ:

  • ปฏิบัติโดยสุจริตเพื่อหลีกเลี่ยงการละเมิดความเป็นส่วนตัว, การทำลายข้อมูล, และการหยุดชะงักหรือลดทอนบริการของเรา (รวมถึงการปฏิเสธการให้บริการ);
  • ห้ามเข้าถึงหรือแก้ไขข้อมูลของเราหรือข้อมูลผู้ใช้ของเรา, โดยไม่ได้รับอนุญาตอย่างชัดเจนจากเจ้าของ. โต้ตอบกับบัญชีของคุณเองหรือบัญชีทดสอบเพื่อวัตถุประสงค์ในการวิจัยด้านความปลอดภัยเท่านั้น;
  • ติดต่อเราทันทีหากคุณพบข้อมูลผู้ใช้โดยไม่ได้ตั้งใจ. ห้ามดู, เปลี่ยนแปลง, บันทึก, เก็บ, โอน, หรือเข้าถึงข้อมูล, และล้างข้อมูลในพื้นที่ทันทีเมื่อรายงานช่องโหว่ดังกล่าวไปยัง LogMeOnce;
  • โปรดเคารพการใช้งานที่มีอยู่ของเรา. แบบฟอร์มการส่งสแปมผ่านเครื่องสแกนช่องโหว่อัตโนมัติจะไม่ส่งผลให้ได้รับรางวัลหรือรางวัลใด ๆ เนื่องจากสิ่งเหล่านี้อยู่นอกขอบเขตอย่างชัดเจน;
  • แชร์ปัญหาด้านความปลอดภัยกับเราโดยละเอียด;
  • ให้เวลาเราอย่างเหมาะสมในการตอบสนองต่อปัญหา; และ
  • มิฉะนั้นให้ปฏิบัติตามกฎหมายที่เกี่ยวข้องทั้งหมด.

เราให้รางวัลแก่ผู้รายงานคนแรกที่มีช่องโหว่เท่านั้น. ไม่อนุญาตให้เปิดเผยช่องโหว่ต่อสาธารณะและจะยกเลิกรางวัลที่รอดำเนินการ. เราขอสงวนสิทธิ์ในการตัดสิทธิ์บุคคลจากโปรแกรมเนื่องจากพฤติกรรมที่ไม่สุภาพหรือก่อกวน.

เราจะไม่เจรจาเพื่อตอบสนองต่อการข่มขู่หรือการคุกคาม (เช่น, เราจะไม่ต่อรองจำนวนเงินที่จ่ายภายใต้การคุกคามของการระงับช่องโหว่หรือการคุกคามของการปล่อยช่องโหว่หรือข้อมูลที่เปิดเผยต่อสาธารณะ).

ช่องโหว่นอกขอบเขต

ปัญหาต่อไปนี้อยู่นอกขอบเขตของโปรแกรมรางวัลของเรา:

  • นโยบายของเราเกี่ยวกับการมี / ไม่มีระเบียน SPF / DMARC.
  • รหัสผ่าน, อีเมล์, และนโยบายบัญชี, เช่นการยืนยันรหัสอีเมล, รีเซ็ตการหมดอายุของลิงก์, ความซับซ้อนของรหัสผ่าน.
  • ขาดโทเค็น CSRF (เว้นแต่จะมีหลักฐานว่าเป็นของจริง, การกระทำของผู้ใช้ที่ละเอียดอ่อนไม่ได้รับการปกป้องโดยโทเค็น).
  • เข้าสู่ระบบ / ออกจากระบบ CSRF.
  • การโจมตีที่ต้องการการเข้าถึงทางกายภาพไปยังอุปกรณ์ของผู้ใช้.
  • ไม่มีส่วนหัวความปลอดภัยซึ่งไม่ได้นำไปสู่ช่องโหว่โดยตรง.
  • ไม่มีแนวทางปฏิบัติที่ดีที่สุด (เราต้องการหลักฐานเกี่ยวกับช่องโหว่ด้านความปลอดภัย).
  • XSS ด้วยตนเอง (เราต้องการหลักฐานว่า XSS สามารถใช้ในการโจมตีได้อย่างไร).
  • การแทรกส่วนหัวของโฮสต์เว้นแต่คุณจะสามารถแสดงได้ว่าจะนำไปสู่การขโมยข้อมูลได้อย่างไร.
  • การใช้ไลบรารีที่ทราบว่ามีช่องโหว่ (โดยไม่มีหลักฐานการใช้ประโยชน์).
  • ปัญหาเกี่ยวกับซอฟต์แวร์ที่ไม่ใช่ LogMeOnce แบบบั๊กกี้.
  • รายงานจากเครื่องมืออัตโนมัติหรือการสแกน.
  • รายงานสแปม (นั่นคือ, รายงานใด ๆ ที่เกี่ยวข้องกับความสามารถในการส่งอีเมลโดยไม่ จำกัด อัตรา).
  • การโจมตีที่ต้องการให้แอปผู้โจมตีได้รับอนุญาตให้ซ้อนทับแอปของเรา (เช่น, Tapjacking).
  • ช่องโหว่ที่ส่งผลต่อผู้ใช้เบราว์เซอร์หรือแพลตฟอร์มที่ล้าสมัย.
  • วิศวกรรมสังคมของพนักงานหรือผู้รับเหมา LogMeOnce.
  • ความพยายามทางกายภาพใด ๆ กับคุณสมบัติ LogMeOnce หรือศูนย์ข้อมูล.
  • การมีแอตทริบิวต์เติมข้อความอัตโนมัติในเว็บฟอร์ม.
  • ไม่มีแฟล็กคุกกี้บนคุกกี้ที่ไม่ละเอียดอ่อน.
  • รายงานการเข้ารหัส SSL / TLS ที่ไม่ปลอดภัย (เว้นแต่คุณจะมีหลักฐานยืนยันแนวคิดที่ใช้งานได้และไม่ใช่แค่รายงานจากเครื่องสแกน).
  • การเข้าถึงข้อมูลใด ๆ ที่ผู้ใช้เป้าหมายจำเป็นต้องใช้งานอุปกรณ์มือถือที่รูท.
  • รายงานเกี่ยวกับการไฮแจ็ค DLL โดยไม่แสดงให้เห็นว่าได้รับสิทธิ์ใหม่อย่างไรก็อยู่นอกขอบเขต.
  • รายงานเกี่ยวกับวิธีการใช้โซลูชัน LogMeOnce เพื่อให้บริการมัลแวร์.
  • ช่องโหว่การปลอมแปลงเนื้อหา (ซึ่งคุณสามารถฉีดข้อความหรือรูปภาพลงในเพจเท่านั้น) อยู่นอกขอบเขต.
  • เราจะยอมรับและแก้ไขช่องโหว่ในการปลอมแปลงที่ผู้โจมตีสามารถแทรกรูปภาพหรือ Rich Text ได้ (HTML), แต่ไม่มีสิทธิ์ได้รับรางวัล. การฉีดข้อความบริสุทธิ์อยู่นอกขอบเขต.
  • ความสามารถในการแบ่งปันลิงก์โดยไม่ต้องยืนยันอีเมล.
  • ไม่มีการ จำกัด อัตรา, เว้นแต่จะเกี่ยวข้องกับการพิสูจน์ตัวตน.
  • ช่องโหว่การดาวน์โหลดไฟล์ที่สะท้อนหรือช่องโหว่ใด ๆ ที่ทำให้คุณเริ่มการดาวน์โหลดไปยังคอมพิวเตอร์ของผู้ใช้นั้นอยู่นอกขอบเขต.
  • การสแกน IP / พอร์ตผ่านบริการ LogMeOnce เว้นแต่คุณจะสามารถเข้าถึง IP ส่วนตัวหรือเซิร์ฟเวอร์ LogMeOnce ได้.
  • อุปกรณ์ (ios, แอนดรอยด์, แอปเดสก์ท็อป) ไม่ได้รับการยกเลิกการเชื่อมโยงกับการเปลี่ยนรหัสผ่าน.
  • การฉีดไฮเปอร์ลิงก์หรือการแทรกลิงก์ในอีเมลที่เราส่ง.
  • การสร้างบัญชีหลายบัญชีโดยใช้อีเมลเดียวกันก็อยู่นอกขอบเขตเช่นกัน.
  • ความเสี่ยงในการฟิชชิงผ่านปัญหา Unicode / punycode หรือ RTLO.
  • ความสามารถในการอัปโหลดไฟล์ที่มีนามสกุลไม่ถูกต้องในตัวเลือก.
  • วิกิ Github ที่แก้ไขได้.

หมายเหตุเกี่ยวกับการส่ง SSRF

ก่อนส่งรายงาน SSRF, โปรดตรวจสอบให้แน่ใจว่าคำตอบที่คุณได้รับนั้นไม่ใช่เช่นกัน:

  • รีเซ็ต
  • HTTP / 1.1 403 ต้องห้าม

คำตอบอย่างใดอย่างหนึ่งเหล่านี้มักบ่งชี้ว่าคำขอของคุณถูกบล็อกและไม่ใช่ SSRF ที่ถูกต้อง.

ผลของการปฏิบัติตามนโยบายนี้

เราจะไม่ดำเนินการทางแพ่งหรือร้องเรียนไปยังหน่วยงานบังคับใช้กฎหมายโดยไม่ได้ตั้งใจ, การละเมิดนโยบายนี้โดยสุจริต. เราถือว่ากิจกรรมที่ดำเนินการสอดคล้องกับนโยบายนี้ถือเป็นการกระทำที่ "ได้รับอนุญาต" ภายใต้พระราชบัญญัติการฉ้อโกงและการใช้คอมพิวเตอร์ในทางที่ผิด. ในกรณีที่กิจกรรมของคุณไม่สอดคล้องกับข้อ จำกัด บางประการในนโยบายการใช้งานที่ยอมรับได้ของเรา, เราสละข้อ จำกัด เหล่านั้นเพื่อวัตถุประสงค์ที่ จำกัด ในการอนุญาตการวิจัยด้านความปลอดภัยภายใต้นโยบายนี้. เราจะไม่นำข้อเรียกร้อง DMCA มาฟ้องคุณในการหลีกเลี่ยงมาตรการทางเทคโนโลยีที่เราใช้เพื่อปกป้องแอปพลิเคชันในขอบเขต.

หากมีการดำเนินการทางกฎหมายโดยบุคคลที่สามต่อคุณและคุณได้ปฏิบัติตามนโยบาย Bug Bounty ของ LogMeOnce, LogMeOnce จะดำเนินการเพื่อให้ทราบว่าการดำเนินการของคุณได้ดำเนินการตามนโยบายนี้.

พิมพ์ละเอียด

คุณต้องรับผิดชอบในการจ่ายภาษีใด ๆ ที่เกี่ยวข้องกับรางวัล. เราอาจแก้ไขข้อกำหนดของโปรแกรมนี้หรือยุติโปรแกรมนี้เมื่อใดก็ได้. เราจะไม่ใช้การเปลี่ยนแปลงใด ๆ ที่เราทำกับข้อกำหนดของโปรแกรมเหล่านี้โดยมีผลย้อนหลัง. รายงานจากบุคคลที่กฎหมายห้ามไม่ให้เราจ่ายเงินจะไม่มีสิทธิ์ได้รับรางวัล. พนักงาน LogMeOnce และสมาชิกในครอบครัวไม่มีสิทธิ์ได้รับรางวัล.

รายงาน

ส่งรายละเอียดทั้งหมดมาที่ [email protected] โดยมีหัวเรื่องว่า“ LogMeOnce Vulnerability Disclosure”.

โปรดระบุที่อยู่อีเมลธุรกิจที่ถูกต้อง, และโปรไฟล์โซเชียลมีเดีย.

ข้อยกเว้น

ยกเว้นที่ระบุไว้เป็นอย่างอื่น, ไม่มีข้อยกเว้นสำหรับนโยบายนี้.

ระยะเวลาเก็บรักษาขั้นตอน: อย่างถาวร, หรือจนกว่าจะแทนที่.

วงจรการแก้ไข / ทบทวน: ประจำปี

โปรดทราบว่านโยบาย / ขั้นตอนนี้สามารถแก้ไขได้ตลอดเวลาโดยเจ้าของหรือผู้มีอำนาจอื่น ๆ. ช่วงเวลาที่ระบุไว้ที่นี่กำหนดเวลาสูงสุดที่สามารถผ่านพ้นไปได้ตั้งแต่วันที่ออกก่อนที่ขั้นตอนจะได้รับการตรวจสอบความถูกต้องและความเกี่ยวข้องเป็นอย่างน้อย.

วันที่แก้ไข: 08-2020

เครื่องปั่น bitcoin cryptomixer เครื่องผสม bitcoin ที่ดีที่สุด