Güvenlik, Snipp'i herkes için güvenli tutmanın temelidir ve güvenlik açıklarını hızlıca bulup düzeltmemize yardımcı olmaları için araştırmacılara güveniyoruz. Bir güvenlik sorunu keşfettiyseniz, bunu bilmek istiyoruz. Her sorumlu ifşayı takdir ediyoruz, iyi avlar!
Güvenlik açıklarını iyi niyetle bildiren ve bu sayfadaki yönergeleri izleyen hiç kimseye karşı asla yasal işlem başlatmayacağız.
Her bildirimi 48 saat içinde onaylamayı hedefliyoruz ve çözüm süreci boyunca sizi güncel tutacağız.
Bulgunuzun ciddiyetine ve etkisine bağlı olarak, özel bir profil rozeti ve PLUS aboneliğimizden ücretsiz aylar kazanmaya hak kazanabilirsiniz.
Snipp'in güvenliğine anlamlı katkılarda bulunan araştırmacılar, hesaplarında herkese açık olarak görüntülenen profil rozetleri kazanabilir.
İlk geçerli güvenlik açığı bildiriminiz için verilir. Snipp'i daha güvenli hale getirmeye yardımcı olan araştırmacıları takdir eder.
3-5 olağanüstü bildirim veya tek bir kritik bulgu sonrasında verilir. En etkili sorunları ortaya çıkaran aktif araştırmacılara ayrılmıştır.
Tüm testler kendi hesaplarınızda yapılmalıdır. Diğer kullanıcıların verileriyle veya hesaplarıyla asla etkileşime girmeyin veya bunları etkilemeyin.
Yalnızca Snipp tarafından işletilen hizmetler kapsam dahilindedir. Üçüncü taraf platformları, hatta API'mizle entegre edilmiş olanları hedefleyen bildirimler kabul edilmeyecektir.
Hizmetlerimizi bozabilecek veya veri bütünlüğünü tehlikeye atabilecek herhangi bir faaliyetten kaçının; buna kaba kuvvet, DoS, spam ve zamanlama tabanlı saldırılar dahildir.
Otomatik tarama araçlarına izin verilmez. Tüm testler manuel olarak yapılmalıdır.
Belirli güvenlik açığı sınıflarını dahili olarak ele alırken kapsamdan geçici olarak çıkarabiliriz. Tüm değişiklikler bu sayfaya yansıtılacaktır.
Lütfen sorunu tamamen araştırıp çözene kadar tüm bulguları gizli tutun.
Sorumlu ifşa, riski en aza indirirken sorunları hızlıca düzeltmemize yardımcı olmanın en iyi yoludur. Doğrudan bize bildirdiğinizde, güvenlik açığını kötü niyetli kişilere maruz bırakmadan hemen bir düzeltme üzerinde çalışmaya başlayabiliriz.
Ele alma fırsatı bulamadan önce, ister sosyal medyada, forumlarda ister başka herhangi bir yerde herkese açık olarak paylaşılan bulgular, rozet tanınması için uygun olmayacaktır. Önce işleri düzeltme fırsatı veren kişilere itibar etmek istiyoruz.
Birden fazla kişi aynı sorunu bildirirse, gönderimleri şunlara göre değerlendiririz:
Teknik açıklamanın netliği
Bildirimin gerçek dünya etkisini ne kadar iyi aktardığı
Gönderim zaman damgası
Snipp'i daha güvenli hale getirmeye yardımcı olmak için zaman ayıran her araştırmacıyı içtenlikle takdir ediyoruz.
Göndermeden önce, sorunun gerçekçi bir saldırı senaryosu ve anlamlı bir güvenlik etkisi olup olmadığını düşünün. Aşağıdakiler genellikle hariç tutulur:
Hesap numaralandırma
MITM veya kullanıcının cihazına fiziksel erişim gerektiren saldırılar
Clickjacking
İçerik sahteciliği ve metin enjeksiyonu
CSRF güvenlik açıkları
E-posta SPF, DKIM ve DMARC kayıtları
Eksik HttpOnly/Secure çerez bayrakları
Açık CORS başlıkları
Hız sınırlama
Tarayıcılardan ve otomatik araçlardan gelen bildirimler
Kendi kendine sömürü (belirteç yeniden kullanımı ve konsol betikleme gibi)
Kullanıcıları veya personeli hedefleyen sosyal mühendislik veya kimlik avı saldırıları
Harici hizmetler, ortaklar ve entegrasyonlar bu programın kapsamı dışındadır. Yalnızca Snipp'e ait özelliklerdeki ve API'lerdeki güvenlik açıkları uygundur. Bildirimler Snipp'in kendisine net bir güvenlik etkisi göstermelidir.
Bir saldırganın sosyal mühendisliğe başvurmadan başka bir kullanıcının API anahtarlarını, oturum belirteçlerini veya kimlik bilgilerini elde edebileceği herhangi bir senaryo kapsam dahilinde kabul edilir.
Hazırlanmış girdi veya normal kullanıcı etkileşimi nedeniyle oluşan, yeniden üretilebilir web sitesi çökmeleri, kaynak tükenmesine, spam'e veya diğer hizmet reddi tekniklerine dayanmadıkları sürece kapsam dahilinde kabul edilir.
Bir yarış koşulundan yararlanmaya dayanan bildirimlerin kabul edilmesi için ek kanıt gerekir. Lütfen aşağıdakilerden en az birini ekleyin:
Yeniden üretilebilir bir betik (Python veya JavaScript tercih edilir, ancak diğer diller de uygundur)
Koşulu tetiklemek için gereken HTTP yöntemlerini, uç noktaları ve tam istek sıralamasını kapsayan ayrıntılı bir açıklama
Bir betik eklemek, sorunu doğrulamamızı çok daha kolaylaştırır ve inceleme sürecini hızlandırır.
Bize sorunun net bir açıklamasını, yeniden üretme adımlarını ve destekleyici kanıtları içeren bir e-posta gönderin. En kısa sürede size geri döneceğiz.