Bezpieczeństwo ma kluczowe znaczenie dla utrzymania Snipp bezpiecznym dla wszystkich, a my polegamy na badaczach, którzy pomagają nam szybko znajdować i naprawiać luki w zabezpieczeniach. Jeśli odkryłeś problem z bezpieczeństwem, chcemy o tym wiedzieć. Doceniamy każde odpowiedzialne ujawnienie, udanego polowania!
Nigdy nie podejmiemy kroków prawnych wobec nikogo, kto zgłasza luki w dobrej wierze i przestrzega wytycznych na tej stronie.
Staramy się potwierdzić każde zgłoszenie w ciągu 48 godzin i będziemy informować Cię na bieżąco przez cały proces rozwiązywania problemu.
W zależności od wagi i wpływu Twojego odkrycia możesz kwalifikować się do ekskluzywnej odznaki profilu oraz darmowych miesięcy naszej subskrypcji PLUS.
Badacze, którzy wnoszą znaczący wkład w bezpieczeństwo Snipp, mogą zdobyć odznaki profilu wyświetlane publicznie na ich koncie.
Przyznawana za pierwsze prawidłowe zgłoszenie luki w zabezpieczeniach. Wyróżnia badaczy, którzy pomagają uczynić Snipp bezpieczniejszym.
Przyznawana po 3-5 wyjątkowych zgłoszeniach lub jednym krytycznym odkryciu. Zarezerwowana dla aktywnych badaczy, którzy wykrywają najbardziej wpływowe problemy.
Wszystkie testy muszą być przeprowadzane na Twoich własnych kontach. Nigdy nie wchodź w interakcję z danymi ani kontami innych użytkowników, ani na nie nie wpływaj.
W zakresie programu znajdują się tylko usługi obsługiwane przez Snipp. Zgłoszenia dotyczące platform zewnętrznych, nawet tych zintegrowanych przez nasze API, nie będą akceptowane.
Unikaj wszelkich działań, które mogłyby pogorszyć działanie naszych usług lub naruszyć integralność danych. Obejmuje to ataki siłowe, DoS, spamowanie i ataki czasowe.
Zautomatyzowane narzędzia skanujące są niedozwolone. Wszystkie testy powinny być przeprowadzane ręcznie.
Możemy tymczasowo wyłączyć z zakresu pewne klasy luk, gdy zajmujemy się nimi wewnętrznie. Wszelkie zmiany zostaną odzwierciedlone na tej stronie.
Prosimy o zachowanie poufności wszystkich odkryć, dopóki w pełni nie zbadamy i nie rozwiążemy problemu.
Odpowiedzialne ujawnianie informacji to najlepszy sposób, aby pomóc nam szybko naprawiać problemy przy minimalizacji ryzyka. Gdy zgłaszasz problem bezpośrednio do nas, możemy natychmiast rozpocząć pracę nad poprawką, nie ujawniając luki nieuczciwym osobom.
Odkrycia ujawnione publicznie, zanim mieliśmy szansę się nimi zająć, czy to w mediach społecznościowych, na forach, czy gdziekolwiek indziej, nie będą kwalifikować się do przyznania odznaki. Chcemy doceniać osoby, które dają nam możliwość naprawienia problemu w pierwszej kolejności.
Jeśli wiele osób zgłosi ten sam problem, ocenimy zgłoszenia na podstawie:
Przejrzystość wyjaśnienia technicznego
Jak dobrze zgłoszenie przedstawia rzeczywisty wpływ
Znacznik czasu zgłoszenia
Szczerze doceniamy każdego badacza, który poświęca czas, aby pomóc uczynić Snipp bezpieczniejszym.
Przed wysłaniem zgłoszenia zastanów się, czy problem ma realistyczny scenariusz ataku i istotny wpływ na bezpieczeństwo. Poniższe są zazwyczaj wykluczone:
Enumeracja kont
Ataki wymagające MITM lub fizycznego dostępu do urządzenia użytkownika
Clickjacking
Podszywanie się pod treści i wstrzykiwanie tekstu
Luki CSRF
Rekordy SPF, DKIM i DMARC poczty e-mail
Brakujące flagi HttpOnly/Secure w plikach cookie
Otwarte nagłówki CORS
Ograniczanie liczby żądań
Zgłoszenia ze skanerów i narzędzi automatycznych
Samoeksploatacja (np. ponowne użycie tokenu i skrypty w konsoli)
Ataki socjotechniczne lub phishingowe wymierzone w użytkowników lub personel
Usługi zewnętrzne, partnerzy i integracje są poza zakresem tego programu. Kwalifikują się tylko luki w funkcjach i interfejsach API należących do Snipp. Zgłoszenia muszą wykazywać wyraźny wpływ na bezpieczeństwo samego Snipp.
Każdy scenariusz, w którym atakujący mógłby uzyskać klucze API, tokeny sesji lub dane uwierzytelniające innego użytkownika bez uciekania się do socjotechniki, jest uznawany za objęty zakresem.
Powtarzalne awarie strony spowodowane spreparowanymi danymi wejściowymi lub zwykłą interakcją użytkownika są objęte zakresem, pod warunkiem że nie zależą od wyczerpania zasobów, spamu ani innych technik typu denial-of-service.
Zgłoszenia, które zależą od wykorzystania sytuacji wyścigu, wymagają dodatkowych dowodów, aby zostały zaakceptowane. Dołącz co najmniej jedną z poniższych rzeczy:
Powtarzalny skrypt (preferowany Python lub JavaScript, choć inne języki też są w porządku)
Szczegółowy opis obejmujący metody HTTP, punkty końcowe i dokładną kolejność żądań potrzebną do wywołania tej sytuacji
Dołączenie skryptu znacznie ułatwia nam weryfikację problemu i przyspiesza proces przeglądu.
Wyślij nam e-mail z jasnym opisem problemu, krokami do odtworzenia i wszelkimi dowodami potwierdzającymi. Odpowiemy najszybciej, jak to możliwe.