Bezbednost je ključna za održavanje Snipp-a bezbednim za sve, a oslanjamo se na istraživače da nam pomognu da brzo pronađemo i otklonimo ranjivosti. Ako ste otkrili bezbednosni problem, želimo da znamo za njega. Cenimo svako odgovorno otkrivanje, srećan lov!
Nikada nećemo pokrenuti pravni postupak protiv bilo koga ko prijavi ranjivosti u dobroj veri i poštuje smernice na ovoj stranici.
Cilj nam je da potvrdimo prijem svake prijave u roku od 48 sati i obaveštavaćemo vas tokom celog procesa rešavanja.
U zavisnosti od ozbiljnosti i uticaja vašeg otkrića, možete imati pravo na ekskluzivnu značku na profilu i besplatne mesece naše PLUS pretplate.
Istraživači koji daju značajan doprinos bezbednosti Snipp-a mogu zaraditi značke na profilu prikazane javno na njihovom nalogu.
Dodeljuje se za vašu prvu važeću prijavu ranjivosti. Priznaje istraživače koji pomažu da Snipp bude bezbedniji.
Dodeljuje se nakon 3-5 izuzetnih prijava ili jednog kritičnog otkrića. Rezervisana za aktivne istraživače koji otkrivaju najuticajnije probleme.
Sva testiranja moraju se obavljati na sopstvenim nalozima. Nikada nemojte komunicirati sa podacima ili nalozima drugih korisnika niti uticati na njih.
Samo usluge kojima upravlja Snipp su u obimu. Prijave koje ciljaju platforme trećih strana, čak i one integrisane preko našeg API-ja, neće biti prihvaćene.
Izbegavajte bilo kakvu aktivnost koja bi mogla da pogorša naše usluge ili ugrozi integritet podataka. Ovo uključuje napade grubom silom, DoS, spam i napade zasnovane na vremenu.
Automatizovani alati za skeniranje nisu dozvoljeni. Sva testiranja treba obaviti ručno.
Možemo privremeno isključiti određene klase ranjivosti iz obima dok ih interno rešavamo. Sve promene biće prikazane na ovoj stranici.
Molimo vas da sva otkrića držite poverljivim dok u potpunosti ne istražimo i rešimo problem.
Odgovorno otkrivanje je najbolji način da nam pomognete da brzo rešimo probleme uz minimiziranje rizika. Kada nam prijavite direktno, možemo odmah početi sa radom na rešenju bez izlaganja ranjivosti zlonamernim akterima.
Otkrića koja se javno dele pre nego što smo imali priliku da ih rešimo, bilo na društvenim mrežama, forumima ili bilo gde drugde, neće imati pravo na priznanje značkom. Želimo da zahvalimo ljudima koji nam daju priliku da prvo otklonimo probleme.
Ako više ljudi prijavi isti problem, procenjivaćemo prijave na osnovu:
Jasnoće tehničkog objašnjenja
Koliko dobro prijava prenosi stvarni uticaj
Vremenske oznake podnošenja
Iskreno cenimo svakog istraživača koji odvoji vreme da pomogne da Snipp bude bezbedniji.
Pre podnošenja, razmislite o tome da li problem ima realan scenario napada i značajan bezbednosni uticaj. Sledeće je uglavnom isključeno:
Enumeracija naloga
Napadi koji zahtevaju MITM ili fizički pristup korisnikovom uređaju
Clickjacking
Lažiranje sadržaja i ubacivanje teksta
CSRF ranjivosti
SPF, DKIM i DMARC zapisi imejla
Nedostajuće HttpOnly/Secure oznake kolačića
Otvorena CORS zaglavlja
Ograničavanje broja zahteva
Prijave skenera i automatizovanih alata
Samoeksploatacija (poput ponovne upotrebe tokena i skriptovanja u konzoli)
Socijalni inženjering ili fišing napadi usmereni na korisnike ili osoblje
Spoljne usluge, partneri i integracije su izvan obima ovog programa. Samo ranjivosti u funkcijama i API-jima koji pripadaju Snipp-u kvalifikuju se. Prijave moraju pokazati jasan bezbednosni uticaj na sam Snipp.
Svaki scenario u kom bi napadač mogao da dobije API ključeve, tokene sesije ili kredencijale drugog korisnika bez oslanjanja na socijalni inženjering smatra se u obimu.
Reprodukabilni padovi sajta izazvani posebno napravljenim unosom ili normalnom interakcijom korisnika smatraju se u obimu, pod uslovom da ne zavise od iscrpljivanja resursa, spama ili drugih tehnika uskraćivanja usluge.
Prijave koje zavise od iskorišćavanja trkačkog uslova zahtevaju dodatne dokaze da bi bile prihvaćene. Molimo uključite barem jedno od sledećeg:
Reprodukabilna skripta (Python ili JavaScript poželjni, mada su i drugi jezici u redu)
Detaljan opis koji pokriva HTTP metode, krajnje tačke i tačan redosled zahteva potreban da se izazove uslov
Uključivanje skripte nam mnogo olakšava da verifikujemo problem i ubrzava proces pregleda.
Pošaljite nam imejl sa jasnim opisom problema, koracima za reprodukciju i bilo kakvim pratećim dokazima. Javićemo vam se što pre budemo mogli.