Sigurnost je ključna za održavanje Snippa sigurnim za sve, a oslanjamo se na istraživače koji nam pomažu brzo pronaći i ispraviti ranjivosti. Ako si otkrio sigurnosni problem, želimo za njega znati. Cijenimo svako odgovorno otkrivanje, sretan lov!
Nikad nećemo poduzeti pravne mjere protiv bilo koga tko u dobroj vjeri prijavi ranjivosti i slijedi smjernice na ovoj stranici.
Cilj nam je potvrditi svaku prijavu u roku od 48 sati i obavještavat ćemo te tijekom cijelog procesa rješavanja.
Ovisno o ozbiljnosti i utjecaju tvog nalaza, možeš ostvariti pravo na ekskluzivnu značku profila i besplatne mjesece naše PLUS pretplate.
Istraživači koji daju značajan doprinos sigurnosti Snippa mogu zaraditi značke profila koje se javno prikazuju na njihovu računu.
Dodjeljuje se za tvoju prvu valjanu prijavu ranjivosti. Priznanje istraživačima koji pomažu učiniti Snipp sigurnijim.
Dodjeljuje se nakon 3-5 iznimnih prijava ili jednog kritičnog nalaza. Rezervirano za aktivne istraživače koji otkrivaju probleme s najvećim utjecajem.
Sve testiranje mora se provoditi na tvojim vlastitim računima. Nikad ne djeluj na podatke ili račune drugih korisnika niti utječi na njih.
U opsegu su samo usluge kojima upravlja Snipp. Prijave usmjerene na platforme trećih strana, čak i one integrirane putem našeg API-ja, neće biti prihvaćene.
Izbjegavaj svaku aktivnost koja bi mogla narušiti naše usluge ili ugroziti integritet podataka. To uključuje napade grubom silom, DoS, slanje neželjene pošte i napade temeljene na vremenu.
Alati za automatsko skeniranje nisu dopušteni. Svako testiranje treba provoditi ručno.
Možemo privremeno isključiti određene razrede ranjivosti iz opsega dok ih interno rješavamo. Sve promjene bit će prikazane na ovoj stranici.
Sve nalaze drži povjerljivima dok u potpunosti ne istražimo i riješimo problem.
Odgovorno otkrivanje najbolji je način da nam pomogneš brzo riješiti probleme uz minimalan rizik. Kada nam prijaviš izravno, možemo odmah početi raditi na ispravku bez izlaganja ranjivosti zlonamjernim akterima.
Nalazi koji se javno podijele prije nego što smo ih stigli riješiti, bilo na društvenim mrežama, forumima ili bilo gdje drugdje, neće ostvariti pravo na priznanje značkom. Želimo priznati zaslugu onima koji nam daju priliku da stvari prvo ispravimo.
Ako više osoba prijavi isti problem, prijave ćemo procijeniti na temelju:
Jasnoće tehničkog objašnjenja
Koliko dobro prijava prenosi stvarni utjecaj
Vremenske oznake podnošenja
Iskreno cijenimo svakog istraživača koji odvoji vrijeme da pomogne učiniti Snipp sigurnijim.
Prije podnošenja razmisli ima li problem realan scenarij napada i značajan sigurnosni utjecaj. Sljedeće je općenito isključeno:
Nabrajanje računa
Napadi koji zahtijevaju MITM ili fizički pristup korisnikovu uređaju
Clickjacking
Lažiranje sadržaja i ubacivanje teksta
CSRF ranjivosti
SPF, DKIM i DMARC zapisi e-pošte
Nedostajuće zastavice kolačića HttpOnly/Secure
Otvorena CORS zaglavlja
Ograničavanje broja zahtjeva
Prijave iz skenera i automatiziranih alata
Samoiskorištavanje (poput ponovne uporabe tokena i skriptiranja u konzoli)
Društveni inženjering ili phishing napadi usmjereni na korisnike ili osoblje
Vanjske usluge, partneri i integracije izvan su opsega ovog programa. Pravo se priznaje samo ranjivostima u značajkama i API-jima u Snippovu vlasništvu. Prijave moraju pokazati jasan sigurnosni utjecaj na sam Snipp.
Svaki scenarij u kojem bi napadač mogao doći do API ključeva, tokena sesije ili vjerodajnica drugog korisnika bez oslanjanja na društveni inženjering smatra se u opsegu.
Ponovljivi padovi web-stranice uzrokovani izrađenim unosom ili normalnom korisničkom interakcijom smatraju se u opsegu, pod uvjetom da ne ovise o iscrpljivanju resursa, neželjenoj pošti ili drugim tehnikama uskraćivanja usluge.
Prijave koje ovise o iskorištavanju stanja utrke trebaju dodatne dokaze za prihvaćanje. Uključi barem jedno od sljedećeg:
Ponovljivu skriptu (Python ili JavaScript poželjno, iako su i drugi jezici u redu)
Detaljan opis koji pokriva HTTP metode, krajnje točke i točan redoslijed zahtjeva potreban za pokretanje stanja
Uključivanje skripte uvelike nam olakšava provjeru problema i ubrzava proces pregleda.
Pošalji nam e-poštu s jasnim opisom problema, koracima za reprodukciju i svim popratnim dokazima. Javit ćemo ti se što je prije moguće.