ความปลอดภัยเป็นหัวใจสำคัญในการรักษา Snipp ให้ปลอดภัยสำหรับทุกคน และเราพึ่งพานักวิจัยเพื่อช่วยเราค้นหาและแก้ไขช่องโหว่อย่างรวดเร็ว หากคุณพบปัญหาด้านความปลอดภัย เราอยากรู้ เราขอบคุณทุกการเปิดเผยอย่างมีความรับผิดชอบ ขอให้สนุกกับการล่า!
เราจะไม่ดำเนินคดีกับใครก็ตามที่รายงานช่องโหว่ด้วยความสุจริตและปฏิบัติตามแนวทางในหน้านี้
เรามุ่งมั่นที่จะตอบรับทุกรายงานภายใน 48 ชั่วโมงและจะอัปเดตคุณตลอดกระบวนการแก้ไข
ขึ้นอยู่กับความรุนแรงและผลกระทบของการค้นพบของคุณ คุณอาจมีสิทธิ์ได้รับเครื่องหมายโปรไฟล์เอกสิทธิ์และเดือนฟรีของการสมัครสมาชิก PLUS ของเรา
นักวิจัยที่มีส่วนร่วมอย่างมีความหมายต่อความปลอดภัยของ Snipp สามารถได้รับเครื่องหมายโปรไฟล์ที่แสดงต่อสาธารณะในบัญชีของพวกเขา
มอบให้สำหรับรายงานช่องโหว่ที่ถูกต้องครั้งแรกของคุณ ยกย่องนักวิจัยที่ช่วยทำให้ Snipp ปลอดภัยยิ่งขึ้น
มอบให้หลังจากรายงานที่ยอดเยี่ยม 3-5 ครั้ง หรือการค้นพบที่สำคัญร้ายแรงเพียงครั้งเดียว สงวนไว้สำหรับนักวิจัยที่กระตือรือร้นซึ่งค้นพบปัญหาที่มีผลกระทบมากที่สุด
การทดสอบทั้งหมดต้องทำกับบัญชีของคุณเอง ห้ามโต้ตอบหรือส่งผลกระทบต่อข้อมูลหรือบัญชีของผู้ใช้คนอื่น
เฉพาะบริการที่ดำเนินงานโดย Snipp เท่านั้นที่อยู่ในขอบเขต รายงานที่กำหนดเป้าหมายแพลตฟอร์มของบุคคลที่สาม แม้ว่าจะรวมอยู่ผ่าน API ของเราจะไม่ได้รับการยอมรับ
หลีกเลี่ยงกิจกรรมใดๆ ที่อาจทำให้บริการของเราเสื่อมลงหรือทำให้ความสมบูรณ์ของข้อมูลเสียหาย รวมถึง brute forcing, DoS, การสแปม และการโจมตีแบบ timing
ห้ามใช้เครื่องมือสแกนอัตโนมัติ การทดสอบทั้งหมดควรทำด้วยมือ
เราอาจยกเว้นช่องโหว่บางประเภทออกจากขอบเขตชั่วคราวขณะที่เรากำลังจัดการภายใน การเปลี่ยนแปลงใดๆ จะถูกสะท้อนในหน้านี้
กรุณาเก็บการค้นพบทั้งหมดเป็นความลับจนกว่าเราจะได้ทำการสืบสวนและแก้ไขปัญหาอย่างเต็มที่
การเปิดเผยอย่างมีความรับผิดชอบเป็นวิธีที่ดีที่สุดที่จะช่วยให้เราแก้ไขปัญหาได้อย่างรวดเร็วในขณะที่ลดความเสี่ยง เมื่อคุณรายงานโดยตรงกับเรา เราสามารถเริ่มทำงานในการแก้ไขทันทีโดยไม่ต้องเปิดเผยช่องโหว่ต่อผู้ไม่ประสงค์ดี
การค้นพบที่ถูกแบ่งปันต่อสาธารณะก่อนที่เราจะมีโอกาสจัดการ ไม่ว่าจะบนโซเชียลมีเดีย ฟอรัม หรือที่อื่นใด จะไม่มีสิทธิ์ได้รับการรับรองด้วยเครื่องหมาย เราต้องการให้เครดิตกับคนที่ให้โอกาสเราในการแก้ไขสิ่งต่างๆ ก่อน
หากมีหลายคนรายงานปัญหาเดียวกัน เราจะประเมินการส่งโดยพิจารณาจาก:
ความชัดเจนของคำอธิบายทางเทคนิค
รายงานสื่อสารผลกระทบในโลกแห่งความจริงได้ดีเพียงใด
การประทับเวลาของการส่ง
เราซาบซึ้งใจกับนักวิจัยทุกคนที่สละเวลาช่วยให้ Snipp ปลอดภัยขึ้น
ก่อนส่ง คิดให้รอบคอบว่าปัญหามีสถานการณ์การโจมตีที่สมจริงและมีผลกระทบด้านความปลอดภัยที่มีความหมายหรือไม่ ต่อไปนี้มักจะถูกแยกออก:
การระบุบัญชี
การโจมตีที่ต้องใช้ MITM หรือการเข้าถึงอุปกรณ์ของผู้ใช้ทางกายภาพ
Clickjacking
การปลอมแปลงเนื้อหาและการแทรกข้อความ
ช่องโหว่ CSRF
บันทึก SPF, DKIM และ DMARC ของอีเมล
การไม่มี HttpOnly/Secure cookie flags
ส่วนหัว CORS แบบเปิด
การจำกัดอัตรา
รายงานจากสแกนเนอร์และเครื่องมืออัตโนมัติ
การใช้ประโยชน์ตนเอง (เช่น การใช้โทเค็นซ้ำและการสคริปต์คอนโซล)
การโจมตีแบบ social engineering หรือ phishing ที่กำหนดเป้าหมายผู้ใช้หรือพนักงาน
บริการภายนอก พันธมิตร และการรวมระบบอยู่นอกขอบเขตของโปรแกรมนี้ เฉพาะช่องโหว่ในคุณสมบัติและ API ที่ Snipp เป็นเจ้าของเท่านั้นที่ผ่านเกณฑ์ รายงานต้องแสดงผลกระทบด้านความปลอดภัยที่ชัดเจนต่อ Snipp เอง
สถานการณ์ใดๆ ที่ผู้โจมตีอาจได้รับ API keys, session tokens หรือ credentials ของผู้ใช้คนอื่นโดยไม่อาศัย social engineering ถือว่าอยู่ในขอบเขต
การล่มของเว็บไซต์ที่ทำซ้ำได้ ซึ่งเกิดจาก input ที่สร้างขึ้นหรือการโต้ตอบของผู้ใช้ปกติ ถือว่าอยู่ในขอบเขต โดยที่ไม่ขึ้นอยู่กับการใช้ทรัพยากรจนหมด สแปม หรือเทคนิค denial-of-service อื่นๆ
รายงานที่ขึ้นอยู่กับการใช้ประโยชน์ race condition ต้องการหลักฐานเพิ่มเติมเพื่อให้ได้รับการยอมรับ กรุณาใส่อย่างน้อยหนึ่งอย่างต่อไปนี้:
สคริปต์ที่ทำซ้ำได้ (Python หรือ JavaScript เป็นที่ต้องการ แต่ภาษาอื่นๆ ก็ใช้ได้)
การเขียนอธิบายอย่างละเอียดครอบคลุม HTTP methods, endpoints และการเรียงลำดับคำขอที่แน่นอนที่จำเป็นในการกระตุ้นเงื่อนไข
การรวมสคริปต์ทำให้เราตรวจสอบปัญหาได้ง่ายขึ้นมากและเร่งกระบวนการตรวจสอบ
ส่งอีเมลถึงเราพร้อมคำอธิบายปัญหาที่ชัดเจน ขั้นตอนการทำซ้ำ และหลักฐานสนับสนุนใดๆ เราจะติดต่อกลับให้เร็วที่สุดเท่าที่จะทำได้