セキュリティはSnippをすべての人にとって安全に保つための中核であり、私たちは脆弱性を素早く発見して修正するために研究者の協力に頼っています。セキュリティ上の問題を発見した場合は、ぜひ教えてください。すべての責任ある開示に感謝しています。良い狩りを!
誠実に脆弱性を報告し、このページのガイドラインに従う方に対して、私たちは決して法的措置を取ることはありません。
私たちはすべての報告を48時間以内に確認することを目指しており、解決プロセスを通じて状況をお知らせします。
発見の深刻度と影響に応じて、限定プロフィールバッジやPLUSサブスクリプションの無料月数を受け取る資格が得られる場合があります。
Snippのセキュリティに有意義な貢献をした研究者は、アカウント上に公開表示されるプロフィールバッジを獲得できます。
最初の有効な脆弱性報告に対して授与されます。Snippをより安全にするのに貢献する研究者を称えます。
3〜5件の優れた報告、または1件の重大な発見の後に授与されます。最も影響の大きい問題を発見する活発な研究者に限定されています。
すべてのテストはご自身のアカウントで行う必要があります。他のユーザーのデータやアカウントに干渉したり影響を与えたりしないでください。
Snippが運営するサービスのみが対象範囲です。当社のAPIを介して統合されているものであっても、サードパーティのプラットフォームを対象とした報告は受け付けられません。
当社のサービスを低下させたり、データの整合性を損なったりする可能性のある活動は避けてください。これにはブルートフォース、DoS、スパム、タイミングベースの攻撃が含まれます。
自動スキャンツールの使用は許可されていません。すべてのテストは手動で行ってください。
特定の脆弱性クラスを内部で対処している間、一時的に対象範囲から除外する場合があります。変更があればこのページに反映されます。
問題を完全に調査し解決するまで、すべての発見を機密に保ってください。
責任ある開示は、リスクを最小限に抑えながら問題を素早く修正するのを助ける最善の方法です。直接ご報告いただければ、脆弱性を悪意ある者にさらすことなく、すぐに修正に取りかかることができます。
私たちが対処する機会を得る前に、ソーシャルメディア、フォーラム、その他どこであっても公開された発見は、バッジ認定の対象にはなりません。私たちは、最初に修正する機会を与えてくれる人々を称えたいと考えています。
複数の人が同じ問題を報告した場合、以下に基づいて提出を評価します:
技術的な説明の明確さ
報告が現実世界への影響をどれだけうまく伝えているか
提出のタイムスタンプ
Snippをより安全にするために時間を割いてくれるすべての研究者に、心から感謝しています。
提出する前に、その問題に現実的な攻撃シナリオと有意義なセキュリティ上の影響があるかどうかを考えてください。以下は一般的に除外されます:
アカウントの列挙
MITMやユーザーのデバイスへの物理的アクセスを必要とする攻撃
クリックジャッキング
コンテンツのなりすましとテキストインジェクション
CSRFの脆弱性
メールのSPF、DKIM、DMARCレコード
HttpOnly/Secure Cookieフラグの欠如
オープンなCORSヘッダー
レート制限
スキャナーや自動ツールからの報告
自己エクスプロイト(トークンの再利用やコンソールスクリプティングなど)
ユーザーやスタッフを標的としたソーシャルエンジニアリングやフィッシング攻撃
外部サービス、パートナー、統合はこのプログラムの対象範囲外です。Snippが所有する機能とAPIの脆弱性のみが対象となります。報告はSnipp自体への明確なセキュリティ上の影響を示す必要があります。
ソーシャルエンジニアリングに頼ることなく、攻撃者が他のユーザーのAPIキー、セッショントークン、認証情報を取得できるシナリオはすべて対象範囲内と見なされます。
細工された入力や通常のユーザー操作によって引き起こされる再現可能なウェブサイトのクラッシュは、リソース枯渇、スパム、その他のサービス妨害手法に依存しない限り、対象範囲内と見なされます。
競合状態の悪用に依存する報告は、受理されるために追加の証拠が必要です。以下のうち少なくとも1つを含めてください:
再現可能なスクリプト(PythonまたはJavaScriptが望ましいですが、他の言語でも構いません)
条件をトリガーするために必要なHTTPメソッド、エンドポイント、正確なリクエストの順序を網羅した詳細な説明
スクリプトを含めると、問題の検証がはるかに容易になり、レビュープロセスが速くなります。