Securitatea este esențială pentru a menține Snipp în siguranță pentru toată lumea, iar noi ne bazăm pe cercetători pentru a ne ajuta să găsim și să reparăm rapid vulnerabilitățile. Dacă ai descoperit o problemă de securitate, vrem să aflăm despre ea. Apreciem fiecare dezvăluire responsabilă, vânătoare plăcută!
Nu vom întreprinde niciodată acțiuni legale împotriva nimănui care raportează vulnerabilități cu bună-credință și respectă liniile directoare de pe această pagină.
Ne propunem să confirmăm fiecare raport în termen de 48 de ore și te vom ține la curent pe tot parcursul procesului de rezolvare.
În funcție de gravitatea și impactul descoperirii tale, poți fi eligibil pentru o insignă exclusivă de profil și luni gratuite din abonamentul nostru PLUS.
Cercetătorii care aduc contribuții semnificative la securitatea Snipp pot câștiga insigne de profil afișate public în contul lor.
Acordată pentru primul tău raport valid de vulnerabilitate. Recunoaște cercetătorii care ajută la creșterea siguranței Snipp.
Acordată după 3-5 rapoarte excepționale sau o singură descoperire critică. Rezervată cercetătorilor activi care descoperă cele mai importante probleme.
Toate testările trebuie efectuate pe propriile conturi. Nu interacționa niciodată cu datele sau conturile altor utilizatori și nu le afecta.
Doar serviciile operate de Snipp intră în scop. Rapoartele care vizează platforme terțe, chiar și cele integrate prin API-ul nostru, nu vor fi acceptate.
Evită orice activitate care ar putea degrada serviciile noastre sau compromite integritatea datelor. Aceasta include atacuri prin forță brută, DoS, spam și atacuri bazate pe timp.
Instrumentele de scanare automată nu sunt permise. Toate testările trebuie făcute manual.
Putem exclude temporar din scop anumite clase de vulnerabilități în timp ce le abordăm intern. Orice modificare va fi reflectată pe această pagină.
Te rugăm să păstrezi toate descoperirile confidențiale până când investigăm și rezolvăm complet problema.
Dezvăluirea responsabilă este cel mai bun mod de a ne ajuta să reparăm rapid problemele, minimizând riscul. Când ne raportezi direct, putem începe imediat să lucrăm la o soluție, fără a expune vulnerabilitatea actorilor rău intenționați.
Descoperirile care sunt distribuite public înainte de a avea ocazia să le abordăm, fie pe rețele sociale, forumuri sau oriunde altundeva, nu vor fi eligibile pentru recunoaștere cu insignă. Vrem să creditam persoanele care ne oferă ocazia să reparăm lucrurile mai întâi.
Dacă mai multe persoane raportează aceeași problemă, vom evalua trimiterile pe baza:
Clarității explicației tehnice
Cât de bine transmite raportul impactul din lumea reală
Marcajului temporal al trimiterii
Apreciem cu adevărat fiecare cercetător care își dedică timpul pentru a ajuta la creșterea siguranței Snipp.
Înainte de a trimite, gândește-te dacă problema are un scenariu de atac realist și un impact de securitate semnificativ. Următoarele sunt în general excluse:
Enumerarea conturilor
Atacuri care necesită MITM sau acces fizic la dispozitivul unui utilizator
Clickjacking
Falsificarea conținutului și injectarea de text
Vulnerabilități CSRF
Înregistrări de e-mail SPF, DKIM și DMARC
Indicatori de cookie HttpOnly/Secure lipsă
Anteturi CORS deschise
Limitarea ratei
Rapoarte de la scanere și instrumente automate
Autoexploatare (cum ar fi reutilizarea tokenurilor și scripturile din consolă)
Inginerie socială sau atacuri de phishing care vizează utilizatori sau personal
Serviciile externe, partenerii și integrările sunt în afara scopului acestui program. Doar vulnerabilitățile din funcțiile și API-urile deținute de Snipp se califică. Rapoartele trebuie să arate un impact clar de securitate asupra Snipp însuși.
Orice scenariu în care un atacator ar putea obține cheile API, tokenurile de sesiune sau credențialele altui utilizator fără a se baza pe inginerie socială este considerat în scop.
Blocările reproductibile ale site-ului cauzate de date special create sau de interacțiunea normală a utilizatorului sunt considerate în scop, cu condiția să nu depindă de epuizarea resurselor, spam sau alte tehnici de tip denial-of-service.
Rapoartele care depind de exploatarea unei condiții de cursă au nevoie de dovezi suplimentare pentru a fi acceptate. Te rugăm să incluzi cel puțin una dintre următoarele:
Un script reproductibil (de preferință Python sau JavaScript, deși și alte limbaje sunt în regulă)
O descriere detaliată care acoperă metodele HTTP, punctele finale și ordinea exactă a cererilor necesare pentru a declanșa condiția
Includerea unui script ne face mult mai ușor să verificăm problema și accelerează procesul de analiză.
Trimite-ne un e-mail cu o descriere clară a problemei, pașii de reproducere și orice dovezi justificative. Îți vom răspunde cât de curând putem.