Keamanan adalah inti dari menjaga Snipp tetap aman untuk semua orang, dan kami mengandalkan peneliti untuk membantu kami menemukan dan memperbaiki kerentanan dengan cepat. Jika Anda menemukan masalah keamanan, kami ingin tahu. Kami menghargai setiap pengungkapan yang bertanggung jawab, selamat berburu!
Kami tidak akan pernah menempuh tindakan hukum terhadap siapa pun yang melaporkan kerentanan dengan iktikad baik dan mengikuti pedoman di halaman ini.
Kami berupaya mengakui setiap laporan dalam 48 jam dan akan terus memberi tahu Anda selama proses penyelesaian.
Tergantung tingkat keparahan dan dampak temuan Anda, Anda mungkin memenuhi syarat untuk lencana profil eksklusif dan langganan PLUS gratis selama beberapa bulan.
Peneliti yang memberikan kontribusi berarti pada keamanan Snipp dapat memperoleh lencana profil yang ditampilkan secara publik di akun mereka.
Diberikan untuk laporan kerentanan valid pertama Anda. Mengakui peneliti yang membantu membuat Snipp lebih aman.
Diberikan setelah 3-5 laporan luar biasa atau satu temuan kritis. Dikhususkan untuk peneliti aktif yang menemukan masalah paling berdampak.
Semua pengujian harus dilakukan pada akun Anda sendiri. Jangan pernah berinteraksi dengan atau memengaruhi data atau akun pengguna lain.
Hanya layanan yang dioperasikan Snipp yang termasuk dalam cakupan. Laporan yang menargetkan platform pihak ketiga, bahkan yang terintegrasi melalui API kami, tidak akan diterima.
Hindari aktivitas apa pun yang dapat menurunkan kualitas layanan kami atau mengganggu integritas data. Ini termasuk brute force, DoS, spam, dan serangan berbasis waktu.
Alat pemindaian otomatis tidak diperbolehkan. Semua pengujian harus dilakukan secara manual.
Kami dapat mengecualikan kelas kerentanan tertentu dari cakupan untuk sementara saat kami menanganinya secara internal. Perubahan apa pun akan tercermin di halaman ini.
Mohon rahasiakan semua temuan hingga kami menyelidiki dan menyelesaikan masalah sepenuhnya.
Pengungkapan yang bertanggung jawab adalah cara terbaik untuk membantu kami memperbaiki masalah dengan cepat sambil meminimalkan risiko. Saat Anda melapor langsung kepada kami, kami dapat segera mulai memperbaiki tanpa mengekspos kerentanan ke pihak jahat.
Temuan yang dibagikan secara publik sebelum kami sempat menanganinya, baik di media sosial, forum, atau di mana pun, tidak akan memenuhi syarat untuk pengakuan lencana. Kami ingin memberikan penghargaan kepada orang-orang yang memberi kami kesempatan untuk memperbaiki masalah lebih dulu.
Jika beberapa orang melaporkan masalah yang sama, kami akan mengevaluasi pengiriman berdasarkan:
Kejelasan penjelasan teknis
Seberapa baik laporan menyampaikan dampak di dunia nyata
Stempel waktu pengiriman
Kami sungguh menghargai setiap peneliti yang meluangkan waktu untuk membantu membuat Snipp lebih aman.
Sebelum mengirim, pikirkan apakah masalah memiliki skenario serangan yang realistis dan dampak keamanan yang berarti. Berikut umumnya dikecualikan:
Enumerasi akun
Serangan yang memerlukan MITM atau akses fisik ke perangkat pengguna
Clickjacking
Pemalsuan konten dan injeksi teks
Kerentanan CSRF
Catatan email SPF, DKIM, dan DMARC
Flag cookie HttpOnly/Secure yang hilang
Header CORS terbuka
Pembatasan laju
Laporan dari pemindai dan alat otomatis
Eksploitasi diri sendiri (seperti penggunaan ulang token dan scripting konsol)
Rekayasa sosial atau serangan phishing yang menargetkan pengguna atau staf
Layanan eksternal, mitra, dan integrasi berada di luar cakupan program ini. Hanya kerentanan pada fitur dan API milik Snipp yang memenuhi syarat. Laporan harus menunjukkan dampak keamanan yang jelas pada Snipp itu sendiri.
Setiap skenario di mana penyerang dapat memperoleh kunci API, token sesi, atau kredensial pengguna lain tanpa mengandalkan rekayasa sosial dianggap masuk dalam cakupan.
Kerusakan situs web yang dapat direproduksi yang disebabkan oleh input buatan atau interaksi pengguna normal dianggap masuk dalam cakupan, asalkan tidak bergantung pada penipisan sumber daya, spam, atau teknik denial-of-service lainnya.
Laporan yang bergantung pada eksploitasi race condition memerlukan bukti tambahan untuk diterima. Mohon sertakan setidaknya salah satu dari berikut:
Skrip yang dapat direproduksi (Python atau JavaScript lebih disukai, meski bahasa lain juga boleh)
Penjelasan menyeluruh yang mencakup metode HTTP, endpoint, dan urutan permintaan persis yang diperlukan untuk memicu kondisi tersebut
Menyertakan skrip membuatnya jauh lebih mudah bagi kami untuk memverifikasi masalah dan mempercepat proses peninjauan.
Kirim email kepada kami dengan deskripsi masalah yang jelas, langkah-langkah untuk mereproduksi, dan bukti pendukung apa pun. Kami akan membalas secepat mungkin.