Безопасность играет ключевую роль в том, чтобы Snipp оставался безопасным для всех, и мы полагаемся на исследователей, которые помогают нам быстро находить и устранять уязвимости. Если вы обнаружили проблему безопасности, мы хотим об этом знать. Мы ценим каждое ответственное раскрытие, удачной охоты!
Мы никогда не будем предпринимать юридических действий против тех, кто добросовестно сообщает об уязвимостях и следует правилам на этой странице.
Мы стремимся подтверждать получение каждого сообщения в течение 48 часов и будем держать вас в курсе на протяжении всего процесса устранения.
В зависимости от серьёзности и влияния вашей находки вы можете претендовать на эксклюзивный значок профиля и бесплатные месяцы нашей подписки PLUS.
Исследователи, вносящие значимый вклад в безопасность Snipp, могут получить значки профиля, отображаемые публично в их учётной записи.
Присваивается за ваше первое действительное сообщение об уязвимости. Отмечает исследователей, которые помогают сделать Snipp безопаснее.
Присваивается после 3-5 выдающихся сообщений или одной критической находки. Зарезервирован для активных исследователей, выявляющих наиболее значимые проблемы.
Всё тестирование должно проводиться на ваших собственных учётных записях. Никогда не взаимодействуйте с данными или учётными записями других пользователей и не влияйте на них.
В область действия входят только сервисы, управляемые Snipp. Сообщения, нацеленные на сторонние платформы, даже интегрированные через наш API, не будут приняты.
Избегайте любых действий, которые могут ухудшить работу наших сервисов или нарушить целостность данных. Это включает перебор паролей, DoS, спам и атаки на основе тайминга.
Автоматизированные инструменты сканирования не допускаются. Всё тестирование должно выполняться вручную.
Мы можем временно исключать определённые классы уязвимостей из области действия, пока работаем над ними внутри компании. Любые изменения будут отражены на этой странице.
Пожалуйста, держите все находки в конфиденциальности, пока мы полностью не расследуем и не устраним проблему.
Ответственное раскрытие — лучший способ помочь нам быстро устранить проблемы, минимизируя риск. Когда вы сообщаете напрямую нам, мы можем немедленно начать работу над исправлением, не раскрывая уязвимость злоумышленникам.
Находки, опубликованные публично до того, как у нас была возможность их устранить, будь то в соцсетях, на форумах или где-либо ещё, не будут иметь права на признание значком. Мы хотим отмечать людей, которые дают нам возможность исправить всё первыми.
Если несколько человек сообщают об одной и той же проблеме, мы оценим заявки по следующим критериям:
Ясность технического объяснения
Насколько хорошо сообщение передаёт реальное влияние
Отметка времени подачи
Мы искренне ценим каждого исследователя, который находит время помочь сделать Snipp безопаснее.
Прежде чем подавать сообщение, подумайте, есть ли у проблемы реалистичный сценарий атаки и значимое влияние на безопасность. Следующее обычно исключается:
Перечисление учётных записей
Атаки, требующие MITM или физического доступа к устройству пользователя
Кликджекинг
Подмена контента и инъекция текста
Уязвимости CSRF
Записи электронной почты SPF, DKIM и DMARC
Отсутствие флагов cookie HttpOnly/Secure
Открытые заголовки CORS
Ограничение частоты запросов
Сообщения от сканеров и автоматизированных инструментов
Самоэксплуатация (например, повторное использование токена и скрипты в консоли)
Социальная инженерия или фишинговые атаки, нацеленные на пользователей или сотрудников
Внешние сервисы, партнёры и интеграции находятся вне области действия этой программы. Право на участие имеют только уязвимости в функциях и API, принадлежащих Snipp. Сообщения должны демонстрировать чёткое влияние на безопасность самого Snipp.
Любой сценарий, в котором злоумышленник может получить API-ключи, токены сессии или учётные данные другого пользователя, не полагаясь на социальную инженерию, считается входящим в область действия.
Воспроизводимые сбои сайта, вызванные специально сформированными входными данными или обычным взаимодействием пользователя, считаются входящими в область действия при условии, что они не зависят от исчерпания ресурсов, спама или других техник отказа в обслуживании.
Сообщения, зависящие от эксплуатации состояния гонки, требуют дополнительных доказательств для принятия. Пожалуйста, включите хотя бы одно из следующего:
Воспроизводимый скрипт (предпочтительно Python или JavaScript, хотя другие языки тоже подойдут)
Подробное описание, охватывающее HTTP-методы, эндпоинты и точный порядок запросов, необходимый для срабатывания состояния
Наличие скрипта значительно упрощает нам проверку проблемы и ускоряет процесс рассмотрения.
Отправьте нам письмо с чётким описанием проблемы, шагами для воспроизведения и любыми подтверждающими доказательствами. Мы ответим вам как можно скорее.