Політика розкриття вразливості

будинки - Політика розкриття вразливості

Резюме

Щодня створюються нові проблеми безпеки та атаки кібербезпеки. LogMeOnce використовує найсучасніші розробки в галузі безпеки, працюючи з дослідниками та компаніями з безпеки. Мета цього документа - окреслити умови та умови, за яких ми будемо платити винагороду; за помилки, що повідомляються з етичної точки зору.

Політика

Захист інформації про користувача в безпеці є головним пріоритетом і основним принципом LogMeOnce. Ми вітаємо внесок зовнішніх дослідників безпеки та сподіваємось нагородити їх за їх безцінний внесок у безпеку всіх співробітників та користувачів LogMeOnce.

Нагороди

LogMeOnce надає винагороди репортерам з питань вразливості на власний розсуд (дивіться правильно “Звітування”). Наша винагорода є $30 USD за низький вплив, $50 USD за середній вплив. Суми винагороди можуть різнитися залежно від тяжкості повідомленої вразливості та якості звіту. Майте на увазі, що це не конкурс чи змагання.

Заявки у сфері

Зовнішні рішення LogMeOnce та підтримувані в даний час продукти LogMeOnce є в асортименті.

Прийнятність та відповідальне розкриття інформації

Сприяти виявленню та повідомленню про вразливі місця та підвищенню безпеки користувачів, ми просимо вас:

  • Дійте добросовісно, ​​щоб уникнути порушення конфіденційності, знищення даних, а також переривання або погіршення якості наших послуг (включаючи відмову в обслуговуванні);
  • Не отримуйте доступ та не змінюйте наші дані чи дані наших користувачів, без явного дозволу власника. Взаємодійте із власними або тестовими обліковими записами лише для цілей дослідження безпеки;
  • Негайно зв’яжіться з нами, якщо випадково зіткнетеся з даними користувача. Не переглядайте, змінювати, зберегти, магазин, передача, або іншим чином отримати доступ до даних, і негайно видалити будь-яку локальну інформацію після повідомлення про вразливість LogMeOnce;
  • Будь ласка, поважайте наші існуючі програми. Розсилка форм через автоматичні сканери вразливості не призведе до нагород чи нагород, оскільки вони явно виходять за рамки;
  • Поділіться з нами проблемою безпеки детально;
  • Дайте нам розумний час, щоб відповісти на проблему; і
  • В іншому випадку дотримуйтесь усіх чинних законів.

Ми винагороджуємо лише першого доповідача про вразливість. Публічне розголошення вразливості не дозволяється і скасовує очікувану винагороду. Ми залишаємо за собою право дискваліфікувати людей з програми за неповажну чи дезорганізуючу поведінку.

Ми не будемо вести переговори у відповідь на примус чи погрози (наприклад, ми не будемо домовлятися про суму виплат під загрозою утримання вразливості або загрози звільнення вразливості або будь-яких відкритих даних для громадськості).

Поза зоною дії вразливості

Наступні випуски виходять за рамки нашої програми винагород:

  • Наша політика щодо наявності / відсутності записів SPF / DMARC.
  • Пароль, електронною поштою, та політика облікового запису, наприклад, підтвердження ідентифікатора електронної пошти, скинути термін дії посилання - -, складність пароля.
  • Відсутність токенів CSRF (за винятком випадків, коли є фактичні факти, чутлива дія користувача, не захищена маркером).
  • Вхід / вихід CSRF.
  • Атаки, що вимагають фізичного доступу до пристрою користувача.
  • Відсутні заголовки безпеки, які не ведуть безпосередньо до вразливості.
  • Відсутні найкращі практики (нам потрібні докази вразливості системи безпеки).
  • Self-XSS (нам потрібні докази того, як XSS можна використовувати в атаці).
  • Ін’єкції заголовка хоста, якщо ви не можете показати, як вони можуть призвести до викрадення даних.
  • Використання відомої вразливої ​​бібліотеки (без доказів експлуатації).
  • Проблеми, пов’язані з помилковим програмним забезпеченням, що не є LogMeOnce.
  • Звіти автоматизованих інструментів або сканування.
  • Звіти про спам (тобто, будь-який звіт, що включає можливість надсилати електронні листи без обмежень тарифів).
  • Атаки, для яких програма зловмисників повинна мати дозвіл накладати поверх нашої програми (наприклад, крани).
  • Уразливості, що впливають на користувачів застарілих браузерів або платформ.
  • Соціальна інженерія працівників LogMeOnce або підрядників.
  • Будь-які фізичні спроби проти власності LogMeOnce або центрів обробки даних.
  • Наявність атрибута автозаповнення у веб-формах.
  • Відсутні прапорці cookie на нечутливих файлах cookie.
  • Звіти про незахищені шифри SSL / TLS (якщо у вас немає робочого підтвердження концепції, а не просто звіт зі сканера).
  • Будь-який доступ до даних, де цільовий користувач повинен керувати корінним мобільним пристроєм.
  • Будь-який звіт про викрадення DLL, не демонструючи, як він отримує нові привілеї, також виходить за рамки.
  • Будь-який звіт про те, як рішення LogMeOnce можна використовувати для обслуговування шкідливих програм.
  • Вразливості підміни вмісту (де ви можете лише вводити текст або зображення на сторінку) виходять за рамки.
  • Ми приймемо та вирішимо вразливість, пов’язану з підробкою, коли зловмисник може ввести зображення або розширений текст (HTML), але він не має права на нагороду. Введення чистого тексту поза рамками.
  • Можливість ділитися посиланнями без перевірки електронної пошти.
  • Відсутність обмеження ставки, якщо це не пов'язано з автентифікацією.
  • Відображені уразливості завантаження файлів або будь-які уразливості, які дозволяють розпочати завантаження на комп’ютер користувача, поза межами дії.
  • Сканування IP / портів через служби LogMeOnce, якщо ви не можете вдарити до приватних IP-адрес або серверів LogMeOnce.
  • Пристрої (ios, андроїд, настільні програми) не отримуючи від'єднання при зміні пароля.
  • Введення гіперпосилання або будь-яке введення посилання в електронних листах, які ми надсилаємо.
  • Створення декількох облікових записів за допомогою однієї електронної пошти також виходить за рамки.
  • Ризик фішингу через проблеми з Unicode / Punycode або RTLO.
  • Можливість завантажувати файли з неправильним розширенням у Chooser.
  • Можна редагувати вікі Github.

Примітки щодо подання SSRF

Перш ніж подавати звіт SSRF, будь ласка, переконайтесь, що відповідь, яку ви отримуєте, не є жодною:

  • скинути
  • HTTP / 1.1 403 Заборонено

Будь-яка з цих відповідей зазвичай вказує на те, що ваш запит заблоковано і не є дійсним SSRF.

Наслідки дотримання цієї політики

Ми не будемо продовжувати цивільний позов або подавати скаргу до правоохоронних органів за випадковість, добросовісні порушення цієї політики. Ми вважаємо діяльність, яка проводиться у відповідності з цією політикою, є “дозволеною” поведінкою згідно із Законом про комп’ютерне шахрайство та зловживання. Наскільки ваша діяльність не суперечить певним обмеженням у нашій Політиці прийнятного використання, ми відмовляємось від цих обмежень з обмеженою метою дозволити дослідження безпеки відповідно до цієї політики. Ми не будемо пред’являти до вас претензію щодо захисту авторських прав у цифрову епоху згідно із Законом про захист авторських прав у цифрову епоху (DMCA) за обхід технологічних заходів, які ми використовували для захисту заявок.

Якщо третя сторона ініціює судовий позов проти вас, і ви дотримуєтеся політики LogMeOnce щодо помилок щодо помилок, LogMeOnce вживатиме заходів, щоб повідомити, що ваші дії здійснювались відповідно до цієї політики.

Дрібний друк

Ви несете відповідальність за сплату будь-яких податків, пов’язаних із винагородами. Ми можемо змінити умови цієї програми або припинити її в будь-який час. Ми не будемо застосовувати будь-які зміни, які ми вносимо до цих умов програми, із зворотною силою. Повідомлення від осіб, яким нам заборонено платити за законом, не підлягають винагороди. Співробітники LogMeOnce та члени їх сімей не можуть отримувати нагороди.

Звітність

Надішліть усі деталі на [email protected] із заголовком теми “Виявлення вразливості LogMeOnce”.

Введіть дійсну ділову електронну адресу, та профіль соціальних мереж.

Винятки

Якщо не вказано інше, у цій політиці немає винятків.

Період збереження процедури: Постійно, або до заміщення.

Цикл перегляду / перегляду: Річний

Зверніть увагу, що ця політика / процедура може бути переглянута в будь-який час власником або іншою уповноваженою стороною. Зазначений тут часовий проміжок часу встановлював максимальний час, який може пройти з дати випуску до того, як процедура буде принаймні перевірена на предмет точності та релевантності.

Дата перегляду: 08-2020

біткойн -блендер криптоміксер найкращий змішувач біткойнів