Güvenlik Açığı Açıklama Politikası

Ev - Güvenlik Açığı Açıklama Politikası

Özet

Her gün yeni güvenlik sorunları ve siber güvenlik saldırıları yaratılır. LogMeOnce, güvenlik araştırmacıları ve şirketleriyle birlikte çalışarak son teknoloji güvenlik geliştirmelerini kullanır.. Bu belgenin amacı, ikramiye ödeyeceğimiz hüküm ve koşulları özetlemektir.; etik olarak bildirilen hatalar için.

Politika

Kullanıcı bilgilerini güvende ve emniyette tutmak, LogMeOnce'da birinci öncelik ve temel ilkedir. Harici güvenlik araştırmacılarının katkılarını memnuniyetle karşılıyoruz ve tüm LogMeOnce çalışanlarının ve kullanıcılarının güvenliğine paha biçilmez katkılarından dolayı onları ödüllendirmeyi dört gözle bekliyoruz..

Ödüller

LogMeOnce, kendi takdirine bağlı olarak güvenlik açığı muhabirlerine ödüller sağlar (düzgün "Raporlama" bakın). Bizim ödülümüz $30 Düşük etki için USD, $50 Orta etki için USD. Ödül miktarları, bildirilen güvenlik açığının ciddiyetine ve raporun kalitesine bağlı olarak değişebilir.. Bunun bir yarışma veya yarışma olmadığını unutmayın.

Kapsamdaki Uygulamalar

Dışarıdan bakan LogMeOnce çözümleri ve şu anda desteklenen LogMeOnce ürünleri kapsam dahilindedir.

Uygunluk ve Sorumluluk Beyanı

Güvenlik açıklarının keşfedilmesini ve raporlanmasını teşvik etmek ve kullanıcı güvenliğini artırmak, sana soruyoruz:

  • Gizlilik ihlallerinden kaçınmak için iyi niyetle hareket edin, verilerin yok edilmesi, ve hizmetlerimizin kesintiye uğraması veya bozulması (hizmet reddi dahil);
  • Verilerimize veya kullanıcılarımızın verilerine erişmeyin veya bunları değiştirmeyin, sahibinin açık izni olmadan. Yalnızca güvenlik araştırması amacıyla kendi hesaplarınızla veya test hesaplarınızla etkileşim kurun;
  • Yanlışlıkla kullanıcı verileriyle karşılaşırsanız hemen bizimle iletişime geçin. Görüntüleme, değiştirmek, kayıt etmek, mağaza, Aktar, veya başka türlü verilere erişim, ve güvenlik açığını LogMeOnce'a bildirdikten sonra herhangi bir yerel bilgiyi derhal temizleyin;
  • Lütfen mevcut uygulamalarımıza saygılı olun. Otomatik güvenlik açığı tarayıcıları aracılığıyla formları spamlamak, açıkça kapsam dışında oldukları için herhangi bir ödül veya ödülle sonuçlanmayacaktır.;
  • Güvenlik sorununu bizimle ayrıntılı olarak paylaşın;
  • Soruna yanıt vermemiz için bize makul bir süre verin; ve
  • Aksi takdirde geçerli tüm yasalara uyun.

Bir güvenlik açığının yalnızca ilk muhabirini ödüllendiriyoruz. Güvenlik açığının kamuya açıklanmasına izin verilmez ve bekleyen bir ödülü iptal eder. Saygısız veya yıkıcı davranışlar nedeniyle bireyleri programdan diskalifiye etme hakkını saklı tutarız.

Baskı veya tehditlere yanıt olarak pazarlık yapmayacağız (örneğin, Güvenlik açığını alıkoyma tehdidi veya güvenlik açığını veya açıkta kalan verileri kamuya açık hale getirme tehdidi altında ödeme miktarını müzakere etmeyeceğiz).

Kapsam Dışı Güvenlik Açıkları

Aşağıdaki konular ödül programımızın kapsamı dışındadır:

  • SPF / DMARC kayıtlarının varlığı / yokluğuna ilişkin politikalarımız.
  • Parola, E-posta, ve hesap politikaları, e-posta kimliği doğrulaması gibi, bağlantının son kullanma tarihini sıfırla, şifre karmaşıklığı.
  • CSRF token eksikliği (gerçek kanıt olmadığı sürece, jetonla korunmayan hassas kullanıcı eylemi).
  • Giriş / çıkış CSRF.
  • Bir kullanıcının cihazına fiziksel erişim gerektiren saldırılar.
  • Doğrudan bir güvenlik açığına yol açmayan eksik güvenlik başlıkları.
  • Eksik en iyi uygulamalar (bir güvenlik açığının kanıtına ihtiyacımız var).
  • Kendinden XSS (XSS'nin bir saldırıda nasıl kullanılabileceğine dair kanıta ihtiyacımız var).
  • Verilerin çalınmasına nasıl yol açabileceklerini gösteremediğiniz sürece ana bilgisayar başlığı enjeksiyonları.
  • Güvenlik açığı olduğu bilinen bir kitaplığın kullanımı (sömürülebilirlik kanıtı olmadan).
  • LogMeOnce olmayan hatalı yazılımlarla ilgili sorunlar.
  • Otomatik araçlardan veya taramalardan raporlar.
  • Spam raporları (diğer bir deyişle, oran sınırları olmadan e-posta gönderme yeteneğini içeren herhangi bir rapor).
  • Saldırgan uygulamasının uygulamamızın üzerine yerleştirme iznine sahip olmasını gerektiren saldırılar (örneğin, tapjacking).
  • Eski tarayıcıların veya platformların kullanıcılarını etkileyen güvenlik açıkları.
  • LogMeOnce çalışanlarının veya yüklenicilerinin sosyal mühendisliği.
  • LogMeOnce mülküne veya veri merkezlerine yönelik herhangi bir fiziksel girişim.
  • Web formlarında otomatik tamamlama özelliğinin varlığı.
  • Hassas olmayan çerezlerde eksik çerez işaretleri.
  • Güvenli olmayan SSL / TLS şifrelerinin raporları (çalışan bir kavram kanıtınız yoksa ve sadece bir tarayıcıdan gelen bir rapor olmadıkça).
  • Hedeflenen kullanıcının köklü bir mobil cihaz çalıştırması gereken verilere herhangi bir erişim.
  • Nasıl yeni ayrıcalıklar kazandığını göstermeden DLL korsanlığı ile ilgili herhangi bir rapor da kapsam dışıdır..
  • Kötü amaçlı yazılım sunmak için LogMeOnce çözümlerinin nasıl kullanılabileceği hakkında herhangi bir rapor.
  • İçerik sahtekarlığı güvenlik açıkları (bir sayfaya yalnızca metin veya resim enjekte edebileceğiniz yer) kapsam dışı.
  • Saldırganın görüntü veya zengin metin ekleyebileceği bir sahtekarlık güvenlik açığını kabul edip çözeceğiz (HTML), ama ödül için uygun değil. Saf metin ekleme kapsam dışı.
  • E-postayı doğrulamadan bağlantıları paylaşma yeteneği.
  • Hız sınırlamasının olmaması, kimlik doğrulama ile ilgili olmadığı sürece.
  • Yansıtılmış Dosya İndirme güvenlik açıkları veya kullanıcının bilgisayarına bir indirme başlatmanıza izin veren tüm güvenlik açıkları kapsam dışıdır.
  • Özel IP'lere veya LogMeOnce sunucularına ulaşamadığınız sürece LogMeOnce hizmetleri aracılığıyla IP / Port Tarama.
  • Cihazlar (ios, android, masaüstü uygulamaları) şifre değişikliğinde bağlantının kesilmemesi.
  • Gönderdiğimiz e-postalarda köprü yerleştirme veya herhangi bir bağlantı ekleme.
  • Aynı e-postayı kullanarak birden fazla hesap oluşturmak da kapsam dışıdır.
  • Unicode / punycode veya RTLO sorunları yoluyla kimlik avı riski.
  • Seçicide yanlış uzantıya sahip dosyaları yükleyebilmek.
  • Düzenlenebilir Github wiki'leri.

SSRF Gönderimlerine İlişkin Notlar

SSRF raporu göndermeden önce, lütfen aldığınız yanıtın da olmadığından emin olun:

  • Sıfırla
  • HTTP / 1.1 403 Yasak

Bu yanıtlardan herhangi biri genellikle isteğinizin engellendiğini ve geçerli bir SSRF olmadığını gösterir..

Bu Politikaya Uymanın Sonuçları

Kazara hukuk davası açmayacağız veya kanun yaptırımlarına şikayette bulunmayacağız., bu politikanın iyi niyetle ihlal edilmesi. Bu politikayla tutarlı olarak yürütülen faaliyetlerin, Bilgisayar Sahtekarlığı ve Kötüye Kullanım Yasası kapsamında "yetkili" davranış teşkil ettiğini düşünüyoruz.. Faaliyetlerinizin Kabul Edilebilir Kullanım Politikamızdaki belirli kısıtlamalarla tutarsız olduğu ölçüde, Bu politika kapsamında güvenlik araştırmalarına izin vermek gibi sınırlı bir amaçla bu kısıtlamalardan feragat ediyoruz. Kapsamdaki uygulamaları korumak için kullandığımız teknolojik önlemleri atlattığınız için size karşı bir DMCA hak talebi getirmeyeceğiz..

Size karşı üçüncü bir şahıs tarafından yasal işlem başlatılırsa ve LogMeOnce’un Bug Bounty politikasına uyarsanız, LogMeOnce, eylemlerinizin bu politikaya uygun olarak yürütüldüğünü bildirmek için adımlar atacaktır..

Güzel Baskı

Ödüllerle ilgili tüm vergileri ödemekten siz sorumlusunuz. Bu programın şartlarını değiştirebilir veya bu programı herhangi bir zamanda sonlandırabiliriz.. Bu program şartlarında yaptığımız hiçbir değişikliği geriye dönük olarak uygulamayacağız. Yasalarca ödememiz yasak olan kişilerden gelen raporlar ödül için uygun değildir. LogMeOnce çalışanları ve onların aile üyeleri ödüllerden yararlanamaz.

Raporlama

Tüm ayrıntıları gönder [email protected] konu satırı "LogMeOnce Güvenlik Açığı Açıklaması" ile.

Lütfen geçerli bir iş e-posta adresi ekleyin, ve sosyal medya profili.

İstisnalar

Aksi belirtilmedikçe, Bu kuralın hiçbir istisnası yoktur.

Prosedür Saklama Süresi: Kalıcı olarak, veya yerini alana kadar.

Revizyon / İnceleme Döngüsü: Yıllık

Bu politika / prosedürün, sahibi veya diğer yetkili taraflarca herhangi bir zamanda revize edilebileceğini unutmayın.. Burada belirtilen süre, prosedürden önce yayın tarihinden itibaren geçebilecek maksimum süreyi en azından doğruluk ve alaka düzeyi açısından incelemiştir..

Revizyon Tarihi: 08-2020

bitcoin karıştırıcı kripto karıştırıcı en iyi bitcoin karıştırıcı