Bezpečnosť je základom toho, aby bol Snipp bezpečný pre každého, a spoliehame sa na výskumníkov, ktorí nám pomáhajú rýchlo nájsť a opraviť zraniteľnosti. Ak si objavil bezpečnostný problém, chceme o ňom vedieť. Vážime si každé zodpovedné zverejnenie, šťastný lov!
Nikdy nebudeme podnikať právne kroky voči nikomu, kto nahlasuje zraniteľnosti v dobrej viere a dodržiava pravidlá na tejto stránke.
Snažíme sa potvrdiť každé hlásenie do 48 hodín a počas celého procesu riešenia ťa budeme informovať.
V závislosti od závažnosti a dopadu tvojho nálezu môžeš mať nárok na exkluzívny odznak na profile a mesiace nášho predplatného PLUS zadarmo.
Výskumníci, ktorí významne prispejú k bezpečnosti Snipp, môžu získať odznaky na profile zobrazené verejne na ich účte.
Udeľuje sa za tvoje prvé platné hlásenie zraniteľnosti. Oceňuje výskumníkov, ktorí pomáhajú robiť Snipp bezpečnejším.
Udeľuje sa po 3-5 výnimočných hláseniach alebo jedinom kritickom náleze. Vyhradené pre aktívnych výskumníkov, ktorí odhaľujú najzávažnejšie problémy.
Všetko testovanie sa musí vykonávať na tvojich vlastných účtoch. Nikdy nezasahuj do údajov ani účtov iných používateľov a neovplyvňuj ich.
V rozsahu sú len služby prevádzkované Snipp. Hlásenia zamerané na platformy tretích strán, aj keď sú integrované cez naše API, nebudú prijaté.
Vyhni sa akejkoľvek aktivite, ktorá by mohla zhoršiť naše služby alebo ohroziť integritu údajov. Patrí sem hrubá sila, DoS, spamovanie a útoky založené na časovaní.
Automatizované skenovacie nástroje nie sú povolené. Všetko testovanie by sa malo robiť manuálne.
Určité triedy zraniteľností môžeme dočasne vylúčiť z rozsahu, kým ich riešime interne. Akékoľvek zmeny sa premietnu na tejto stránke.
Všetky nálezy uchovávaj v tajnosti, kým problém plne nepreskúmame a nevyriešime.
Zodpovedné zverejnenie je najlepší spôsob, ako nám pomôcť rýchlo opraviť problémy pri minimalizovaní rizika. Keď nahlasuješ priamo nám, môžeme začať pracovať na oprave okamžite bez toho, aby sme zraniteľnosť vystavili zlým aktérom.
Nálezy, ktoré sú zverejnené predtým, než sme mali šancu ich riešiť, či už na sociálnych sieťach, fórach alebo kdekoľvek inde, nebudú mať nárok na uznanie odznakom. Chceme oceniť ľudí, ktorí nám dajú možnosť veci najprv opraviť.
Ak ten istý problém nahlási viac ľudí, príspevky vyhodnotíme na základe:
Jasnosti technického vysvetlenia
Toho, ako dobre hlásenie vystihuje reálny dopad
Časovej značky odoslania
Úprimne si vážime každého výskumníka, ktorý si nájde čas pomôcť robiť Snipp bezpečnejším.
Pred odoslaním zváž, či má problém reálny scenár útoku a zmysluplný bezpečnostný dopad. Nasledujúce je vo všeobecnosti vylúčené:
Vymenúvanie účtov
Útoky vyžadujúce MITM alebo fyzický prístup k zariadeniu používateľa
Clickjacking
Falšovanie obsahu a vkladanie textu
Zraniteľnosti CSRF
Záznamy SPF, DKIM a DMARC pre e-mail
Chýbajúce príznaky cookie HttpOnly/Secure
Otvorené hlavičky CORS
Obmedzovanie počtu požiadaviek
Hlásenia zo skenerov a automatizovaných nástrojov
Sebazneužitie (ako opätovné použitie tokenu a skriptovanie v konzole)
Sociálne inžinierstvo alebo phishingové útoky zamerané na používateľov alebo personál
Externé služby, partneri a integrácie sú mimo rozsahu tohto programu. Kvalifikujú sa len zraniteľnosti vo funkciách a API vlastnených Snipp. Hlásenia musia preukázať jasný bezpečnostný dopad na samotný Snipp.
Akýkoľvek scenár, pri ktorom by útočník mohol získať API kľúče, tokeny relácie alebo prihlasovacie údaje iného používateľa bez toho, aby sa spoliehal na sociálne inžinierstvo, sa považuje za v rozsahu.
Reprodukovateľné pády webovej stránky spôsobené upraveným vstupom alebo bežnou interakciou používateľa sa považujú za v rozsahu, pokiaľ nezávisia od vyčerpania zdrojov, spamu alebo iných techník odopretia služby.
Hlásenia, ktoré závisia od zneužitia súbehu, potrebujú na prijatie ďalšie dôkazy. Uveď aspoň jedno z nasledujúceho:
Reprodukovateľný skript (uprednostňuje sa Python alebo JavaScript, no iné jazyky sú v poriadku)
Dôkladný popis pokrývajúci HTTP metódy, koncové body a presné poradie požiadaviek potrebné na spustenie podmienky
Priložením skriptu nám oveľa uľahčíš overenie problému a urýchliš proces kontroly.
Pošli nám e-mail s jasným popisom problému, krokmi na reprodukciu a akýmikoľvek podpornými dôkazmi. Ozveme sa ti čo najskôr.