Beveiliging is essentieel om Snipp veilig te houden voor iedereen, en we vertrouwen op onderzoekers om kwetsbaarheden snel te vinden en op te lossen. Heb je een beveiligingsprobleem ontdekt? Dan willen we het weten. We waarderen elke verantwoorde openbaarmaking, veel succes met zoeken!
We zullen nooit juridische stappen ondernemen tegen iemand die te goeder trouw kwetsbaarheden meldt en de richtlijnen op deze pagina volgt.
We streven ernaar elke melding binnen 48 uur te bevestigen en houden je gedurende het hele oplossingsproces op de hoogte.
Afhankelijk van de ernst en impact van je bevinding kom je mogelijk in aanmerking voor een exclusieve profielbadge en gratis maanden van ons PLUS-abonnement.
Onderzoekers die betekenisvolle bijdragen leveren aan de beveiliging van Snipp kunnen profielbadges verdienen die openbaar op hun account worden weergegeven.
Toegekend voor je eerste geldige kwetsbaarheidsmelding. Erkent onderzoekers die helpen Snipp veiliger te maken.
Toegekend na 3-5 uitzonderlijke meldingen of een enkele kritieke bevinding. Voorbehouden aan actieve onderzoekers die de meest impactvolle problemen blootleggen.
Alle tests moeten op je eigen accounts worden uitgevoerd. Raak of beïnvloed nooit de gegevens of accounts van andere gebruikers.
Alleen door Snipp beheerde diensten vallen binnen de scope. Meldingen gericht op platforms van derden, ook die via onze API zijn geïntegreerd, worden niet geaccepteerd.
Vermijd elke activiteit die onze diensten kan verstoren of de gegevensintegriteit kan aantasten. Dit omvat brute forcing, DoS, spammen en op timing gebaseerde aanvallen.
Geautomatiseerde scantools zijn niet toegestaan. Alle tests moeten handmatig worden uitgevoerd.
We kunnen bepaalde categorieën kwetsbaarheden tijdelijk van de scope uitsluiten terwijl we ze intern aanpakken. Eventuele wijzigingen worden op deze pagina weergegeven.
Houd alle bevindingen vertrouwelijk totdat we het probleem volledig hebben onderzocht en opgelost.
Verantwoorde openbaarmaking is de beste manier om ons te helpen problemen snel op te lossen en tegelijkertijd het risico te minimaliseren. Wanneer je rechtstreeks aan ons meldt, kunnen we direct aan een oplossing werken zonder de kwetsbaarheid bloot te stellen aan kwaadwillenden.
Bevindingen die openbaar worden gedeeld voordat we de kans hebben gehad ze aan te pakken, of dat nu op sociale media, forums of waar dan ook is, komen niet in aanmerking voor badge-erkenning. We willen de mensen erkennen die ons de kans geven om dingen eerst op te lossen.
Als meerdere mensen hetzelfde probleem melden, beoordelen we de inzendingen op basis van:
Duidelijkheid van de technische uitleg
Hoe goed de melding de impact in de praktijk overbrengt
Tijdstempel van inzending
We waarderen elke onderzoeker die de tijd neemt om Snipp veiliger te maken oprecht.
Denk voor het inzenden na of het probleem een realistisch aanvalsscenario en een betekenisvolle beveiligingsimpact heeft. Het volgende is over het algemeen uitgesloten:
Account-enumeratie
Aanvallen die MITM of fysieke toegang tot het apparaat van een gebruiker vereisen
Clickjacking
Content-spoofing en tekstinjectie
CSRF-kwetsbaarheden
SPF-, DKIM- en DMARC-records voor e-mail
Ontbrekende HttpOnly-/Secure-cookievlaggen
Open CORS-headers
Rate limiting
Meldingen van scanners en geautomatiseerde tools
Zelf-exploitatie (zoals tokenhergebruik en console-scripting)
Social engineering of phishingaanvallen gericht op gebruikers of personeel
Externe diensten, partners en integraties vallen buiten de scope van dit programma. Alleen kwetsbaarheden in functies en API's die eigendom zijn van Snipp komen in aanmerking. Meldingen moeten een duidelijke beveiligingsimpact op Snipp zelf aantonen.
Elk scenario waarbij een aanvaller de API-sleutels, sessietokens of inloggegevens van een andere gebruiker zou kunnen verkrijgen zonder te vertrouwen op social engineering, wordt beschouwd als binnen de scope.
Reproduceerbare crashes van de website veroorzaakt door geprepareerde invoer of normale gebruikersinteractie worden beschouwd als binnen de scope, mits ze niet afhankelijk zijn van uitputting van middelen, spam of andere denial-of-service-technieken.
Meldingen die afhankelijk zijn van het uitbuiten van een race condition hebben aanvullend bewijs nodig om te worden geaccepteerd. Voeg ten minste een van het volgende toe:
Een reproduceerbaar script (Python of JavaScript heeft de voorkeur, hoewel andere talen prima zijn)
Een grondige uiteenzetting van de HTTP-methoden, endpoints en de exacte volgorde van verzoeken die nodig is om de conditie te activeren
Een script bijvoegen maakt het voor ons veel makkelijker om het probleem te verifiëren en versnelt het beoordelingsproces.
Stuur ons een e-mail met een duidelijke beschrijving van het probleem, stappen om het te reproduceren en eventueel ondersteunend bewijs. We nemen zo snel mogelijk contact met je op.