Δεσμευόμαστε να κάνουμε το Snipp όσο το δυνατόν καλύτερο, και αυτό σημαίνει γρήγορη αντιμετώπιση σφαλμάτων. Αν έχετε εντοπίσει ζήτημα ή ανακαλύψατε κάτι που δεν λειτουργεί σωστά, θέλουμε να το γνωρίζουμε! Εκτιμούμε κάθε συνεισφορά—καλή επιτυχία!
Δεν θα ασκήσουμε ποτέ νομικές ενέργειες εναντίον κανενός που αναφέρει τρωτά σημεία καλόπιστα και ακολουθεί τις οδηγίες σε αυτή τη σελίδα.
Στοχεύουμε να επιβεβαιώνουμε κάθε αναφορά εντός 48 ωρών και θα σας κρατάμε ενημερωμένους καθ' όλη τη διάρκεια της διαδικασίας επίλυσης.
Ανάλογα με τη σοβαρότητα και τον αντίκτυπο της ανακάλυψής σας, ενδέχεται να δικαιούστε αποκλειστικό badge προφίλ και δωρεάν μήνες συνδρομής PLUS.
Οι ερευνητές που συμβάλλουν ουσιαστικά στην ασφάλεια του Snipp μπορούν να κερδίσουν badges προφίλ που εμφανίζονται δημοσίως στον λογαριασμό τους.
Απονέμεται μετά από 3-5 εξαιρετικές αναφορές σφαλμάτων. Αποδεικνύει συνεπή συνεισφορά στην εμπειρία χρήστη και ασφάλεια του Snipp.
Απονέμεται για ανακάλυψη τρωτών σημείων ή υποβολή κρίσιμων αναφορών. Προορίζεται για ενεργούς ερευνητές που αποκαλύπτουν τα πιο επηρεαστικά ζητήματα.
Όλες οι δοκιμές πρέπει να διεξάγονται στους δικούς σας λογαριασμούς. Μην αλληλεπιδράτε με ή επηρεάζετε δεδομένα ή λογαριασμούς άλλων χρηστών.
Μόνο υπηρεσίες που λειτουργεί το Snipp εμπίπτουν στο πεδίο εφαρμογής. Αναφορές που στοχεύουν πλατφόρμες τρίτων, ακόμα και εκείνες που ενσωματώνονται μέσω του API μας, δεν θα γίνονται δεκτές.
Αποφύγετε οποιαδήποτε δραστηριότητα που θα μπορούσε να υποβαθμίσει τις υπηρεσίες μας ή να θέσει σε κίνδυνο την ακεραιότητα δεδομένων—αυτό περιλαμβάνει brute forcing, DoS, spam και επιθέσεις βασισμένες σε χρόνο.
Δεν επιτρέπονται αυτοματοποιημένα εργαλεία σάρωσης. Όλες οι δοκιμές πρέπει να γίνονται χειροκίνητα.
Ενδέχεται προσωρινά να αποκλείσουμε ορισμένες κατηγορίες τρωτών σημείων από το πεδίο εφαρμογής ενώ τα αντιμετωπίζουμε εσωτερικά. Τυχόν αλλαγές θα αντικατοπτρίζονται σε αυτή τη σελίδα.
Παρακαλούμε κρατήστε όλες τις ανακαλύψεις εμπιστευτικές μέχρι να τις έχουμε πλήρως διερευνήσει και επιλύσει.
Η υπεύθυνη αποκάλυψη είναι ο καλύτερος τρόπος να μας βοηθήσετε να διορθώσουμε ζητήματα γρήγορα ελαχιστοποιώντας τον κίνδυνο. Όταν αναφέρετε απευθείας σε εμάς, μπορούμε να αρχίσουμε αμέσως να εργαζόμαστε για μια διόρθωση χωρίς να εκθέτουμε το τρωτό σημείο σε κακόβουλους.
Ανακαλύψεις που κοινοποιούνται δημοσίως πριν έχουμε την ευκαιρία να τις αντιμετωπίσουμε—είτε στα κοινωνικά δίκτυα, σε φόρουμ ή οπουδήποτε αλλού—δεν θα πληρούν τις προϋποθέσεις για αναγνώριση badge. Θέλουμε να τιμάμε τους ανθρώπους που μας δίνουν την ευκαιρία να διορθώσουμε τα πράγματα πρώτα.
Αν πολλά άτομα αναφέρουν το ίδιο ζήτημα, θα αξιολογήσουμε τις υποβολές βάσει:
Σαφήνεια της τεχνικής εξήγησης
Πόσο καλά η αναφορά αποδίδει τον πραγματικό αντίκτυπο
Χρονική σφραγίδα υποβολής
Εκτιμούμε πραγματικά κάθε ερευνητή που αφιερώνει χρόνο για να κάνει το Snipp πιο ασφαλές.
Πριν υποβάλετε, σκεφτείτε αν το ζήτημα έχει ρεαλιστικό σενάριο επίθεσης και σημαντικό αντίκτυπο ασφαλείας. Τα ακόλουθα εξαιρούνται γενικά:
Απαρίθμηση λογαριασμών
Επιθέσεις που απαιτούν MITM ή φυσική πρόσβαση στη συσκευή χρήστη
Υποκλοπή Κλικ
Πλαστογράφηση περιεχομένου και έγχυση κειμένου
Τρωτά σημεία CSRF
Εγγραφές SPF, DKIM και DMARC email
Ελλείπουσες σημαίες cookie HttpOnly/Secure
Ανοιχτές κεφαλίδες CORS
Περιορισμός ρυθμού
Αναφορές από σαρωτές και αυτοματοποιημένα εργαλεία
Αυτο-εκμετάλλευση (όπως επαναχρησιμοποίηση διακριτικών και scripting κονσόλας)
Επιθέσεις κοινωνικής μηχανικής ή phishing που στοχεύουν χρήστες ή προσωπικό
Εξωτερικές υπηρεσίες, εταίροι και ενσωματώσεις εκτός πεδίου αυτού του προγράμματος. Μόνο τρωτά σημεία σε λειτουργίες και API που ανήκουν στο Snipp πληρούν τις προϋποθέσεις. Οι αναφορές πρέπει να δείχνουν σαφή αντίκτυπο ασφαλείας στο ίδιο το Snipp.
Οποιοδήποτε σενάριο όπου ένας εισβολέας θα μπορούσε να αποκτήσει κλειδιά API, διακριτικά συνεδρίας ή διαπιστευτήρια άλλου χρήστη χωρίς να βασίζεται σε κοινωνική μηχανική θεωρείται εντός πεδίου.
Αναπαράξιμα σφάλματα ιστοσελίδας που προκαλούνται από επεξεργασμένη εισαγωγή ή κανονική αλληλεπίδραση χρήστη θεωρούνται εντός πεδίου, υπό την προϋπόθεση ότι δεν εξαρτώνται από εξάντληση πόρων, spam ή άλλες τεχνικές άρνησης υπηρεσίας.
Αναφορές που εξαρτώνται από εκμετάλλευση συνθήκης αγώνα χρειάζονται πρόσθετες αποδείξεις για να γίνουν αποδεκτές. Παρακαλούμε συμπεριλάβετε τουλάχιστον ένα από τα ακόλουθα:
Αναπαράξιμο script (Python ή JavaScript προτιμάται, αν και άλλες γλώσσες είναι αποδεκτές)
Λεπτομερής ανάλυση που καλύπτει τις μεθόδους HTTP, τα endpoints και την ακριβή σειρά αιτημάτων που απαιτείται για να ενεργοποιηθεί η συνθήκη
Η συμπερίληψη script διευκολύνει πολύ την επαλήθευση του ζητήματος και επιταχύνει τη διαδικασία αξιολόγησης.
Στείλτε μας email με σαφή περιγραφή του ζητήματος, βήματα αναπαραγωγής και τυχόν υποστηρικτικές αποδείξεις. Θα επικοινωνήσουμε μαζί σας το συντομότερο δυνατό.