Zabezpečení je klíčové pro udržení Snippu bezpečného pro všechny a spoléháme na výzkumníky, kteří nám pomáhají rychle nacházet a opravovat zranitelnosti. Pokud jste objevili bezpečnostní problém, chceme o něm vědět. Vážíme si každého zodpovědného zveřejnění, šťastný lov!
Nikdy nebudeme podnikat právní kroky proti komukoli, kdo nahlásí zranitelnosti v dobré víře a dodržuje pokyny na této stránce.
Snažíme se potvrdit přijetí každého hlášení do 48 hodin a budeme vás v průběhu řešení informovat.
V závislosti na závažnosti a dopadu vašeho nálezu můžete mít nárok na exkluzivní odznak na profilu a měsíce předplatného PLUS zdarma.
Výzkumníci, kteří významně přispějí k zabezpečení Snippu, mohou získat odznaky na profilu zobrazované veřejně na jejich účtu.
Udělován za vaše první platné hlášení zranitelnosti. Oceňuje výzkumníky, kteří pomáhají dělat Snipp bezpečnějším.
Udělován po 3-5 výjimečných hlášeních nebo jednom kritickém nálezu. Vyhrazen pro aktivní výzkumníky, kteří odhalují nejzávažnější problémy.
Veškeré testování musí být prováděno na vašich vlastních účtech. Nikdy nezasahujte do dat nebo účtů jiných uživatelů ani je neovlivňujte.
V rozsahu jsou pouze služby provozované Snippem. Hlášení cílící na platformy třetích stran, i ty integrované přes naše API, nebudou přijata.
Vyhněte se jakékoli činnosti, která by mohla zhoršit naše služby nebo narušit integritu dat. To zahrnuje hrubou sílu, DoS, spamování a útoky založené na časování.
Automatizované skenovací nástroje nejsou povoleny. Veškeré testování by mělo probíhat ručně.
Určité třídy zranitelností můžeme dočasně vyloučit z rozsahu, dokud je interně neřešíme. Veškeré změny se projeví na této stránce.
Veškeré nálezy prosím udržujte v tajnosti, dokud problém plně neprošetříme a nevyřešíme.
Zodpovědné zveřejnění je nejlepší způsob, jak nám pomoci rychle opravit problémy a minimalizovat riziko. Když nám nahlásíte přímo, můžeme okamžitě začít pracovat na opravě, aniž bychom zranitelnost vystavili útočníkům.
Nálezy, které jsou zveřejněny dříve, než jsme měli příležitost je vyřešit, ať už na sociálních sítích, fórech nebo kdekoli jinde, nebudou mít nárok na uznání odznakem. Chceme ocenit lidi, kteří nám dají příležitost věci napravit jako první.
Pokud stejný problém nahlásí více lidí, posoudíme příspěvky na základě:
Srozumitelnosti technického vysvětlení
Jak dobře hlášení vystihuje reálný dopad
Časového razítka odeslání
Upřímně si vážíme každého výzkumníka, který si najde čas pomoci udělat Snipp bezpečnějším.
Než odešlete hlášení, zvažte, zda má problém realistický scénář útoku a smysluplný bezpečnostní dopad. Následující jsou obecně vyloučeny:
Výčet účtů
Útoky vyžadující MITM nebo fyzický přístup k zařízení uživatele
Clickjacking
Podvržení obsahu a vkládání textu
Zranitelnosti CSRF
Záznamy SPF, DKIM a DMARC e-mailu
Chybějící příznaky cookie HttpOnly/Secure
Otevřené hlavičky CORS
Omezování počtu požadavků
Hlášení ze skenerů a automatizovaných nástrojů
Sebezneužití (jako opětovné použití tokenu a skriptování v konzoli)
Sociální inženýrství nebo phishingové útoky cílící na uživatele či personál
Externí služby, partneři a integrace jsou mimo rozsah tohoto programu. Kvalifikují se pouze zranitelnosti ve funkcích a API vlastněných Snippem. Hlášení musí prokázat jasný bezpečnostní dopad na samotný Snipp.
Jakýkoli scénář, kdy by útočník mohl získat API klíče, relační tokeny nebo přihlašovací údaje jiného uživatele bez spoléhání na sociální inženýrství, je považován za součást rozsahu.
Reprodukovatelné pády webu způsobené upraveným vstupem nebo běžnou interakcí uživatele jsou považovány za součást rozsahu, pokud nezávisí na vyčerpání zdrojů, spamu nebo jiných technikách odepření služby.
Hlášení závisející na zneužití souběhu potřebují k přijetí další důkazy. Uveďte prosím alespoň jedno z následujícího:
Reprodukovatelný skript (preferován Python nebo JavaScript, ale jiné jazyky jsou v pořádku)
Důkladný popis pokrývající HTTP metody, koncové body a přesné pořadí požadavků potřebné k vyvolání tohoto stavu
Přiložení skriptu nám výrazně usnadní ověření problému a urychlí proces kontroly.
Napište nám e-mail s jasným popisem problému, postupem reprodukce a veškerými podpůrnými důkazy. Ozveme se vám, jakmile to bude možné.