Ang seguridad ay mahalaga sa pagpapanatiling ligtas ng Snipp para sa lahat, at umaasa kami sa mga researcher upang tulungan kaming mabilis na matuklasan at maayos ang mga vulnerability. Kung may natuklasan kang isyu sa seguridad, gusto naming malaman ito. Pinahahalagahan namin ang bawat responsableng pagbubunyag, happy hunting!
Hindi kami magsasagawa ng legal na aksyon laban sa sinumang nag-uulat ng vulnerabilities nang may good faith at sumusunod sa mga gabay sa pahinang ito.
Layunin naming kilalanin ang bawat ulat sa loob ng 48 oras at panatilihing updated ka sa buong resolution process.
Depende sa severity at impact ng iyong natuklasan, maaari kang maging eligible para sa exclusive profile badge at libreng buwan ng aming PLUS subscription.
Ang mga researcher na gumagawa ng makabuluhang kontribusyon sa seguridad ng Snipp ay maaaring kumita ng profile badges na ipinapakita sa publiko sa kanilang account.
Iginagawad para sa iyong unang wastong ulat ng vulnerability. Kinikilala ang mga researcher na tumutulong na gawing mas ligtas ang Snipp.
Iginagawad pagkatapos ng 3-5 exceptional na ulat o isang critical na natuklasan. Nakalaan para sa mga aktibong researcher na natutuklasan ang pinaka-impactful na mga isyu.
Ang lahat ng pagsubok ay dapat isagawa sa iyong sariling mga account. Huwag kailanman makipag-interact sa o makaapekto sa data o account ng ibang user.
Ang mga Snipp-operated na serbisyo lamang ang nasa scope. Ang mga ulat na nagta-target ng third-party platforms, kahit ang mga na-integrate sa aming API, ay hindi tatanggapin.
Iwasan ang anumang aktibidad na maaaring magpababa sa aming mga serbisyo o makompromiso ang data integrity. Kabilang dito ang brute forcing, DoS, spamming, at timing-based attacks.
Hindi pinapayagan ang mga automated scanning tool. Ang lahat ng pagsubok ay dapat manu-manong gawin.
Maaari naming pansamantalang hindi isama ang ilang vulnerability class mula sa scope habang ina-address namin ang mga ito sa loob. Ang anumang pagbabago ay ipapakita sa pahinang ito.
Pakiusap, panatilihing kompidensyal ang lahat ng natuklasan hanggang sa ganap naming naimbestigahan at nareresolba ang isyu.
Ang responsableng pagbubunyag ay ang pinakamagandang paraan para matulungan kaming ayusin ang mga isyu nang mabilis habang minimize ang panganib. Kapag nag-ulat ka nang direkta sa amin, maaari kaming magsimulang gumawa ng ayos kaagad nang hindi ina-expose ang vulnerability sa mga bad actor.
Ang mga natuklasang ipinamamahagi sa publiko bago kami magkaroon ng pagkakataong i-address ang mga ito, maging sa social media, mga forum, o kahit saan pa, ay hindi maging eligible para sa pagkakakilala sa badge. Gusto naming pasalamatan ang mga taong nagbibigay sa amin ng pagkakataong ayusin muna ang mga bagay-bagay.
Kung maraming tao ang nag-uulat ng parehong isyu, susuriin namin ang mga submission batay sa:
Kalinawan ng technical na paliwanag
Kung gaano kahusay ipinahahatid ng ulat ang real-world impact
Timestamp ng pagpapasa
Tunay naming pinahahalagahan ang bawat researcher na naglaan ng oras para tulungang gawing mas ligtas ang Snipp.
Bago magpasa, isipin kung ang isyu ay may realistikong attack scenario at makabuluhang security impact. Karaniwang hindi kasama ang sumusunod:
Account enumeration
Mga atake na nangangailangan ng MITM o physical access sa device ng user
Clickjacking
Content spoofing at text injection
Mga CSRF vulnerability
Email SPF, DKIM, at DMARC records
Kulang na HttpOnly/Secure cookie flags
Mga open na CORS header
Rate limiting
Mga ulat mula sa scanner at automated tools
Self-exploitation (tulad ng token reuse at console scripting)
Social engineering o phishing attacks na nagta-target sa user o staff
Ang external na serbisyo, partner, at integrations ay nasa labas ng scope ng programang ito. Ang vulnerabilities lang sa Snipp-owned na feature at API ang qualified. Ang mga ulat ay dapat magpakita ng malinaw na security impact sa mismong Snipp.
Ang anumang sitwasyon kung saan ang isang attacker ay maaaring kumuha ng API keys, session tokens, o credentials ng ibang user nang hindi umaasa sa social engineering ay itinuturing na nasa scope.
Ang reproducible na website crashes na dulot ng crafted input o normal na user interaction ay itinuturing na nasa scope, sa kondisyong hindi sila umaasa sa resource exhaustion, spam, o iba pang denial-of-service techniques.
Ang mga ulat na umaasa sa pag-exploit ng race condition ay nangangailangan ng karagdagang katibayan para tanggapin. Pakisama ang hindi bababa sa isa sa sumusunod:
Isang reproducible na script (mas mainam ang Python o JavaScript, kahit na ayos lang ang ibang language)
Isang masusing writeup na sumasaklaw sa HTTP methods, endpoints, at eksaktong request ordering na kailangan para mai-trigger ang condition
Ang pagsasama ng script ay nagpapadali sa amin na ma-verify ang isyu at nagpapabilis sa review process.
Magpadala sa amin ng email na may malinaw na paglalarawan ng isyu, mga hakbang para ma-reproduce, at anumang sumusuportang katibayan. Babalikan ka namin sa lalong madaling panahon.