Patakaran sa Pagbubunyag ng Kahinaan

bahay - Patakaran sa Pagbubunyag ng Kahinaan

Buod

Araw-araw ang mga bagong isyu sa seguridad at pag-atake sa seguridad ng cyber ay nilikha. Gumagamit ang LogMeOnce ng mga state-of-the-art na pagpapaunlad ng seguridad sa pamamagitan ng pakikipagtulungan sa mga mananaliksik at kumpanya ng seguridad. Ang layunin ng dokumentong ito ay upang ibalangkas ang mga tuntunin at kundisyon kung saan kami magbabayad ng mga bounties; para sa mga bug na naiulat sa etikal.

Patakaran

Ang pagpapanatiling ligtas at ligtas ng impormasyon ng gumagamit ay isang pangunahing priyoridad at pangunahing prinsipyo sa LogMeOnce. Tinatanggap namin ang kontribusyon ng mga panlabas na mananaliksik ng seguridad at inaasahan ang paggawad sa kanila para sa kanilang napakahalagang kontribusyon sa seguridad ng lahat ng mga empleyado at gumagamit ng LogMeOnce.

Gantimpala

Nagbibigay ang LogMeOnce ng mga gantimpala sa mga nag-uulat na kahinaan sa paghuhusga nito (tingnan nang maayos ang "Pag-uulat"). Ang aming gantimpala ay $30 USD para sa mababang epekto, $50 USD para sa daluyan ng epekto. Ang mga halaga ng gantimpala ay maaaring magkakaiba depende sa tindi ng kahinaan na naiulat at ang kalidad ng ulat. Tandaan na hindi ito paligsahan o kumpetisyon.

Mga Aplikasyon sa Saklaw

Panlabas na nakaharap sa mga solusyon sa LogMeOnce at kasalukuyang sinusuportahan na mga produkto ng LogMeOnce ay nasa saklaw.

Pagiging Karapat-dapat at Pagsisiwalat na Pagsisiwalat

Upang maitaguyod ang pagtuklas at pag-uulat ng mga kahinaan at dagdagan ang kaligtasan ng gumagamit, hinihiling namin na ikaw:

  • Kumilos nang may mabuting pananalig upang maiwasan ang mga paglabag sa privacy, pagkasira ng data, at pagkagambala o pagkasira ng aming mga serbisyo (kasama na ang pagtanggi sa serbisyo);
  • Huwag i-access o baguhin ang aming data o data ng aming mga gumagamit, nang walang malinaw na pahintulot ng may-ari. Makipag-ugnay lamang sa iyong sariling mga account o subukan ang mga account para sa mga layunin sa pagsasaliksik sa seguridad;
  • Makipag-ugnay sa amin kaagad kung hindi sinasadya mong makaharap ang data ng gumagamit. Huwag tingnan, magbago, magtipid, tindahan, paglipat, o kung hindi man ma-access ang data, at agad na linisin ang anumang lokal na impormasyon sa pag-uulat ng kahinaan sa LogMeOnce;
  • Mangyaring maging magalang sa aming mga mayroon nang mga application. Ang mga form sa pag-spam sa pamamagitan ng mga naka-automate na scanner ng kahinaan ay hindi magreresulta sa anumang biyaya o gantimpala dahil ang mga iyon ay malinaw na wala sa saklaw;
  • Ibahagi nang detalyado ang isyu sa seguridad sa amin;
  • Bigyan kami ng isang makatwirang oras upang tumugon sa isyu; at
  • Kung hindi man sumunod sa lahat ng naaangkop na mga batas.

Ginagantimpalaan lamang namin ang unang reporter ng isang kahinaan. Hindi pinapayagan ang pampublikong pagsisiwalat ng kahinaan at kakanselahin ang isang nakabinbing gantimpala. Nakalaan sa amin ang karapatang i-disqualify ang mga indibidwal mula sa programa para sa hindi magalang o nakakagambala na pag-uugali.

Hindi kami makikipag-ayos bilang tugon sa pagpipilit o pagbabanta (hal., hindi namin makikipag-ayos ang halaga ng bayad sa ilalim ng banta ng paghawak ng kahinaan o banta ng paglabas ng kahinaan o anumang nakalantad na data sa publiko).

Mga Kakayahang Wala sa Saklaw

Ang mga sumusunod na isyu ay nasa labas ng saklaw ng aming programa sa mga gantimpala:

  • Ang aming mga patakaran sa pagkakaroon / kawalan ng mga tala ng SPF / DMARC.
  • Password, email, at mga patakaran sa account, tulad ng pag-verify sa email id, i-reset ang pag-expire ng link, pagiging kumplikado ng password.
  • Kakulangan ng mga token ng CSRF (maliban kung mayroong katibayan ng aktwal, ang sensitibong pagkilos ng gumagamit ay hindi protektado ng isang token).
  • Pag-login / pag-logout sa CSRF.
  • Pag-atake na nangangailangan ng pisikal na pag-access sa aparato ng isang gumagamit.
  • Nawawalang mga header ng seguridad na hindi direktang hahantong sa isang kahinaan.
  • Nawawalang mga pinakamahusay na kasanayan (nangangailangan kami ng katibayan ng isang kahinaan sa seguridad).
  • Self-XSS (nangangailangan kami ng katibayan kung paano magagamit ang XSS sa isang atake).
  • Host ng mga injection ng header maliban kung maipakita mo kung paano sila maaaring humantong sa pagnanakaw ng data.
  • Paggamit ng isang kilalang-mahina na aklatan (nang walang ebidensya ng exploitability).
  • Mga isyu na nauugnay sa buggy na hindi LogMeOnce software.
  • Mga ulat mula sa mga awtomatikong tool o pag-scan.
  • Mga ulat ng spam (i.e., anumang ulat na kinasasangkutan ng kakayahang magpadala ng mga email nang walang rate-limit).
  • Ang mga pag-atake na nangangailangan ng attacker app na magkaroon ng pahintulot na mag-overlay sa tuktok ng aming app (hal., tapjacking).
  • Ang mga kahinaan ay nakakaapekto sa mga gumagamit ng hindi napapanahong mga browser o platform.
  • Social engineering ng mga empleyado ng LogMeOnce o mga kontratista.
  • Anumang mga pisikal na pagtatangka laban sa LogMeOnce pag-aari o mga sentro ng data.
  • Pagkakaroon ng autocomplete na katangian sa mga web form.
  • Nawawala ang mga flag ng cookie sa mga cookies na hindi sensitibo.
  • Mga ulat ng mga insecure na SSL / TLS cipher (maliban kung mayroon kang isang gumaganang patunay ng konsepto at hindi lamang isang ulat mula sa isang scanner).
  • Anumang pag-access sa data kung saan kailangang ma-operating ng naka-target na gumagamit ang isang naka-root na mobile device.
  • Anumang ulat tungkol sa pag-hijack sa DLL nang hindi ipinapakita kung paano ito nakakakuha ng mga bagong pribilehiyo ay wala rin sa saklaw.
  • Anumang ulat tungkol sa kung paano maaaring magamit ang mga solusyon sa LogMeOnce upang maghatid ng malware.
  • Mga kahinaan sa spoofing ng nilalaman (kung saan maaari ka lamang mag-iniksyon ng teksto o isang imahe sa isang pahina) wala sa saklaw.
  • Tatanggapin namin at lutasin ang isang spoofing na kahinaan kung saan ang magsasalakay ay maaaring mag-iniksyon ng imahe o mayamang teksto (HTML), ngunit hindi ito karapat-dapat para sa isang biyaya. Ang sakdal na text injection ay wala sa saklaw.
  • Kakayahang magbahagi ng mga link nang hindi napatunayan ang email.
  • Kawalan ng rate-limiting, maliban kung nauugnay sa pagpapatotoo.
  • Ang nasasalamin na mga kahinaan sa Pag-download ng File o anumang mga kahinaan na hinahayaan kang magsimula ng isang pag-download sa computer ng gumagamit ay wala sa saklaw.
  • Pag-scan ng IP / Port sa pamamagitan ng mga serbisyo ng LogMeOnce maliban kung ma-hit mo ang mga pribadong IP o LogMeOnce server.
  • Mga aparato (ios, android, mga desktop app) hindi nakakakuha ng pag-unlink sa pagbabago ng password.
  • Hyperlink injection o anumang link injection sa mga email na ipinadala namin.
  • Ang paglikha ng maraming mga account gamit ang parehong email ay wala ring saklaw.
  • Peligro sa phishing sa pamamagitan ng mga isyu sa unicode / punycode o RTLO.
  • Nagawang mag-upload ng mga file na may maling extension sa tagapili.
  • Na-e-edit na wiki ng Github.

Mga tala sa Mga Pagsumite ng SSRF

Bago magsumite ng ulat ng SSRF, mangyaring tiyakin na ang tugon na iyong natatanggap ay hindi:

  • i-reset
  • HTTP / 1.1 403 Ipinagbabawal

Ang alinman sa mga tugon na ito ay karaniwang nagpapahiwatig na ang iyong kahilingan ay na-block at hindi isang wastong SSRF.

Mga Bunga ng Pagsunod sa Patakaran na Ito

Hindi namin itutuloy ang pagkilos sibil o magpapasimula ng isang reklamo sa nagpapatupad ng batas para sa hindi sinasadya, paglabag sa mabuting pananampalataya sa patakarang ito. Isinasaalang-alang namin ang mga aktibidad na isinagawa na naaayon sa patakarang ito upang mabuo ang "awtorisadong" pag-uugali sa ilalim ng Computer Fraud and Abuse Act. Kung hanggang saan ang iyong mga aktibidad ay hindi naaayon sa ilang mga paghihigpit sa aming Patakaran sa Katanggap-tanggap na Paggamit, tinatanggal namin ang mga paghihigpit na iyon para sa limitadong layunin ng pagpapahintulot sa pananaliksik sa seguridad sa ilalim ng patakarang ito. Hindi kami magdadala ng isang paghahabol sa DMCA laban sa iyo para sa pag-iwas sa mga teknolohikal na hakbang na ginamit namin upang maprotektahan ang mga application sa saklaw.

Kung ang ligal na pagkilos ay pinasimulan ng isang third party laban sa iyo at sumunod ka sa patakaran sa Bug Bounty ng LogMeOnce, Magsasagawa ang LogMeOnce ng mga hakbang upang malaman na ang iyong mga aksyon ay isinasagawa alinsunod sa patakarang ito.

Ang Pinong Print

Mananagot ka para sa pagbabayad ng anumang mga buwis na nauugnay sa mga gantimpala. Maaari naming baguhin ang mga tuntunin ng program na ito o wakasan ang program na ito sa anumang oras. Hindi kami maglalapat ng anumang mga pagbabago na ginagawa namin sa mga term na ito ng programa nang paulit-ulit. Ang mga ulat mula sa mga indibidwal na pinagbawalan tayo ng batas na magbayad ay hindi karapat-dapat para sa mga gantimpala. Ang mga empleyado ng LogMeOnce at ang mga miyembro ng kanilang pamilya ay hindi karapat-dapat para sa mga bounties.

Pag-uulat

Ipadala ang lahat ng mga detalye sa [email protected] kasama ang linya ng paksa na “LogMeOnce Vulnerability Disclosure”.

Mangyaring magsama ng wastong email address sa negosyo, at profile sa social media.

Mga pagbubukod

Maliban sa kung hindi man nakasaad, walang mga pagbubukod sa patakarang ito.

Panahon ng Pagpapanatili ng Pamaraan: Permanente, o hanggang sa mapalitan.

Pagbabago / Pagsusuri sa Ikot: Taunang

Tandaan na ang patakaran / pamamaraang ito ay maaaring mabago anumang oras ng may-ari o iba pang pinahintulutang partido. Ang tagal ng panahon na nabanggit dito ay nagtatag ng maximum na oras na maaaring lumipas mula noong petsa ng pag-isyu bago ang pamamaraan ay hindi bababa sa suriin para sa kawastuhan at kaugnayan.

Petsa ng Pagbabago: 08-2020

blender bitcoin cryptomixer best bitcoin mixer