Сигурността е основополагаща за безопасността на Snipp за всички и разчитаме на изследователи, които да ни помогнат да намираме и отстраняваме уязвимости бързо. Ако сте открили проблем със сигурността, искаме да знаем за него. Оценяваме всяко отговорно разкриване, приятен лов!
Никога няма да предприемем правни действия срещу когото и да е, който докладва уязвимости добросъвестно и следва насоките на тази страница.
Стремим се да потвърдим всеки доклад в рамките на 48 часа и ще ви държим в течение през целия процес на разрешаване.
В зависимост от сериозността и въздействието на откритието ви, може да имате право на ексклузивна значка за профил и безплатни месеци от нашия PLUS абонамент.
Изследователите, които правят значими приноси към сигурността на Snipp, могат да спечелят значки за профил, показвани публично в акаунта им.
Присъжда се за първия ви валиден доклад за уязвимост. Признава изследователите, които помагат да направят Snipp по-безопасен.
Присъжда се след 3-5 изключителни доклада или едно критично откритие. Запазена за активни изследователи, които откриват най-въздействащите проблеми.
Всички тестове трябва да се извършват върху собствените ви акаунти. Никога не взаимодействайте с данни или акаунти на други потребители и не им въздействайте.
Само услугите, управлявани от Snipp, са в обхвата. Доклади, насочени към платформи на трети страни, дори тези, интегрирани чрез нашия API, няма да бъдат приети.
Избягвайте всяка дейност, която може да влоши услугите ни или да компрометира целостта на данните. Това включва груба сила, DoS, спам и атаки, базирани на времето.
Автоматизираните инструменти за сканиране не са разрешени. Всички тестове трябва да се правят ръчно.
Можем временно да изключим определени класове уязвимости от обхвата, докато ги адресираме вътрешно. Всички промени ще бъдат отразени на тази страница.
Моля, пазете всички открития поверителни, докато не разследваме и разрешим напълно проблема.
Отговорното разкриване е най-добрият начин да ни помогнете да отстраняваме проблеми бързо, като същевременно минимизирате риска. Когато докладвате директно на нас, можем да започнем работа по поправка незабавно, без да излагаме уязвимостта на злонамерени лица.
Открития, които са споделени публично, преди да сме имали възможност да ги адресираме, независимо дали в социалните мрежи, форуми или където и да е другаде, няма да имат право на признание със значка. Искаме да признаем хората, които ни дават възможност да поправим нещата първи.
Ако няколко души докладват един и същ проблем, ще оценим подаванията въз основа на:
Яснота на техническото обяснение
Колко добре докладът предава реалното въздействие
Времеви маркер на подаването
Искрено оценяваме всеки изследовател, който отделя време, за да помогне Snipp да стане по-безопасен.
Преди да подадете, помислете дали проблемът има реалистичен сценарий за атака и значимо въздействие върху сигурността. Следните обикновено са изключени:
Изброяване на акаунти
Атаки, изискващи MITM или физически достъп до устройството на потребителя
Clickjacking
Подправяне на съдържание и инжектиране на текст
CSRF уязвимости
Записи SPF, DKIM и DMARC за имейл
Липсващи флагове HttpOnly/Secure за бисквитки
Отворени CORS заглавки
Ограничаване на заявките
Доклади от скенери и автоматизирани инструменти
Самоексплоатация (като повторно използване на токени и скриптове в конзолата)
Социално инженерство или фишинг атаки, насочени към потребители или персонал
Външни услуги, партньори и интеграции са извън обхвата на тази програма. Само уязвимости във функции и API, притежавани от Snipp, отговарят на условията. Докладите трябва да показват ясно въздействие върху сигурността на самия Snipp.
Всеки сценарий, при който нападател би могъл да получи API ключове, сесийни токени или идентификационни данни на друг потребител, без да разчита на социално инженерство, се счита за в обхвата.
Възпроизводими сривове на уебсайта, причинени от изработен вход или нормално потребителско взаимодействие, се считат за в обхвата, при условие че не зависят от изчерпване на ресурси, спам или други техники за отказ на услуга.
Докладите, които зависят от експлоатиране на състезателно условие, се нуждаят от допълнителни доказателства, за да бъдат приети. Моля, включете поне едно от следните:
Възпроизводим скрипт (за предпочитане Python или JavaScript, макар че други езици също са приемливи)
Подробно описание, обхващащо HTTP методите, крайните точки и точния ред на заявките, необходими за задействане на условието
Включването на скрипт ни улеснява много при проверката на проблема и ускорява процеса на преглед.
Изпратете ни имейл с ясно описание на проблема, стъпки за възпроизвеждане и всякакви подкрепящи доказателства. Ще се свържем с вас възможно най-скоро.