Tietoturva on ytimessä, kun pidämme Snippin turvallisena kaikille, ja luotamme tutkijoihin auttaaksemme löytämään ja korjaamaan haavoittuvuuksia nopeasti. Jos olet löytänyt tietoturvaongelman, haluamme tietää siitä. Arvostamme jokaista vastuullista julkistamista, hyvää jahtia!
Emme koskaan ryhdy oikeustoimiin ketään vastaan, joka ilmoittaa haavoittuvuuksista vilpittömässä mielessä ja noudattaa tämän sivun ohjeita.
Pyrimme kuittaamaan jokaisen ilmoituksen 48 tunnin kuluessa ja pidämme sinut ajan tasalla koko ratkaisuprosessin ajan.
Löydöksesi vakavuudesta ja vaikutuksesta riippuen voit olla oikeutettu eksklusiiviseen profiilimerkkiin ja ilmaisiin kuukausiin PLUS-tilaustamme.
Tutkijat, jotka tekevät merkittäviä panostuksia Snippin tietoturvaan, voivat ansaita profiilimerkkejä, jotka näytetään julkisesti heidän tilillään.
Myönnetään ensimmäisestä kelvollisesta haavoittuvuusilmoituksesta. Tunnustaa tutkijat, jotka auttavat tekemään Snippistä turvallisemman.
Myönnetään 3-5 poikkeuksellisen ilmoituksen tai yhden kriittisen löydöksen jälkeen. Varattu aktiivisille tutkijoille, jotka paljastavat vaikuttavimmat ongelmat.
Kaikki testaus on tehtävä omilla tileilläsi. Älä koskaan ole vuorovaikutuksessa muiden käyttäjien tietojen tai tilien kanssa tai vaikuta niihin.
Vain Snippin ylläpitämät palvelut ovat laajuudessa. Kolmannen osapuolen alustoihin kohdistuvia ilmoituksia, vaikka ne olisi integroitu API:mme kautta, ei hyväksytä.
Vältä kaikkea toimintaa, joka voisi heikentää palveluitamme tai vaarantaa tietojen eheyden. Tähän kuuluvat brute force, DoS, roskaposti ja ajoituspohjaiset hyökkäykset.
Automaattiset skannaustyökalut eivät ole sallittuja. Kaikki testaus on tehtävä manuaalisesti.
Voimme tilapäisesti sulkea tiettyjä haavoittuvuusluokkia laajuuden ulkopuolelle, kun käsittelemme niitä sisäisesti. Mahdolliset muutokset näkyvät tällä sivulla.
Pidä kaikki löydökset luottamuksellisina, kunnes olemme tutkineet ja ratkaisseet ongelman kokonaan.
Vastuullinen julkistaminen on paras tapa auttaa meitä korjaamaan ongelmat nopeasti minimoiden samalla riskit. Kun ilmoitat suoraan meille, voimme alkaa työstää korjausta välittömästi paljastamatta haavoittuvuutta pahantahtoisille.
Löydökset, jotka jaetaan julkisesti ennen kuin olemme ehtineet käsitellä ne, oli se sitten sosiaalisessa mediassa, foorumeilla tai missä tahansa muualla, eivät ole oikeutettuja merkkitunnustukseen. Haluamme antaa tunnustuksen ihmisille, jotka antavat meille mahdollisuuden korjata asiat ensin.
Jos useat ihmiset ilmoittavat samasta ongelmasta, arvioimme lähetykset seuraavien perusteella:
Teknisen selityksen selkeys
Kuinka hyvin ilmoitus välittää todellisen vaikutuksen
Lähetyksen aikaleima
Arvostamme aidosti jokaista tutkijaa, joka käyttää aikaa auttaakseen tekemään Snippistä turvallisemman.
Ennen lähettämistä mieti, onko ongelmalla realistinen hyökkäysskenaario ja merkityksellinen tietoturvavaikutus. Seuraavat on yleensä rajattu pois:
Tilien luettelointi
Hyökkäykset, jotka vaativat MITM:n tai fyysisen pääsyn käyttäjän laitteeseen
Clickjacking
Sisällön väärentäminen ja tekstin injektointi
CSRF-haavoittuvuudet
Sähköpostin SPF-, DKIM- ja DMARC-tietueet
Puuttuvat HttpOnly/Secure-evästelippumerkinnät
Avoimet CORS-otsikot
Pyyntörajoitus
Skannereiden ja automaattisten työkalujen ilmoitukset
Itsehyväksikäyttö (kuten tunnuksen uudelleenkäyttö ja konsolin skriptaus)
Sosiaalinen manipulointi tai käyttäjiin tai henkilökuntaan kohdistuvat tietojenkalasteluhyökkäykset
Ulkoiset palvelut, kumppanit ja integraatiot ovat tämän ohjelman laajuuden ulkopuolella. Vain Snippin omistamien ominaisuuksien ja API:en haavoittuvuudet kelpaavat. Ilmoitusten on osoitettava selkeä tietoturvavaikutus Snippiin itseensä.
Mikä tahansa skenaario, jossa hyökkääjä voisi saada toisen käyttäjän API-avaimet, istuntotunnukset tai tunnistetiedot ilman sosiaaliseen manipulointiin turvautumista, katsotaan laajuuteen kuuluvaksi.
Toistettavat verkkosivuston kaatumiset, jotka aiheutuvat muokatusta syötteestä tai normaalista käyttäjän vuorovaikutuksesta, katsotaan laajuuteen kuuluviksi, edellyttäen ettei niitä riipu resurssien tyhjentämisestä, roskapostista tai muista palvelunestotekniikoista.
Ilmoitukset, jotka riippuvat kilpatilanteen hyväksikäytöstä, tarvitsevat lisätodisteita tullakseen hyväksytyiksi. Sisällytä vähintään yksi seuraavista:
Toistettava skripti (Python tai JavaScript suositeltavia, vaikka muutkin kielet käyvät)
Perusteellinen selostus, joka kattaa HTTP-metodit, päätepisteet ja tarkan pyyntöjärjestyksen, joka tarvitaan tilanteen laukaisemiseen
Skriptin sisällyttäminen helpottaa huomattavasti ongelman vahvistamista ja nopeuttaa tarkistusprosessia.
Lähetä meille sähköpostia, jossa on selkeä kuvaus ongelmasta, vaiheet toistamiseen ja mahdolliset tukevat todisteet. Palaamme asiaan mahdollisimman pian.