Безпека є ключовою для того, щоб Snipp залишався безпечним для всіх, і ми покладаємося на дослідників, які допомагають нам швидко знаходити та усувати вразливості. Якщо ви виявили проблему безпеки, ми хочемо про це знати. Ми цінуємо кожне відповідальне розголошення, успішного полювання!
Ми ніколи не будемо вживати юридичних заходів проти будь-кого, хто добросовісно повідомляє про вразливості та дотримується правил на цій сторінці.
Ми прагнемо підтвердити отримання кожного повідомлення протягом 48 годин і будемо інформувати вас протягом усього процесу вирішення.
Залежно від серйозності та впливу вашої знахідки, ви можете отримати ексклюзивний значок профілю та безкоштовні місяці нашої передплати PLUS.
Дослідники, які роблять вагомий внесок у безпеку Snipp, можуть заробити значки профілю, що публічно відображаються в їхньому акаунті.
Присуджується за ваше перше дійсне повідомлення про вразливість. Відзначає дослідників, які допомагають зробити Snipp безпечнішим.
Присуджується після 3-5 виняткових повідомлень або однієї критичної знахідки. Зарезервовано для активних дослідників, які виявляють найвпливовіші проблеми.
Усе тестування має виконуватися на ваших власних акаунтах. Ніколи не взаємодійте з даними чи акаунтами інших користувачів і не впливайте на них.
В обсязі лише сервіси, керовані Snipp. Повідомлення, спрямовані на сторонні платформи, навіть інтегровані через наш API, не приймаються.
Уникайте будь-якої діяльності, що може погіршити роботу наших сервісів чи порушити цілісність даних. Це включає брутфорс, DoS, спам та атаки на основі часу.
Інструменти автоматичного сканування не дозволені. Усе тестування має виконуватися вручну.
Ми можемо тимчасово виключити певні класи вразливостей з обсягу, поки ми вирішуємо їх внутрішньо. Будь-які зміни буде відображено на цій сторінці.
Будь ласка, тримайте всі знахідки в таємниці, поки ми повністю не розслідуємо та не вирішимо проблему.
Відповідальне розголошення — це найкращий спосіб допомогти нам швидко виправити проблеми, мінімізуючи ризик. Коли ви повідомляєте безпосередньо нам, ми можемо негайно почати працювати над виправленням, не наражаючи вразливість на зловмисників.
Знахідки, оприлюднені публічно до того, як ми мали можливість їх усунути, чи то в соцмережах, на форумах, чи деінде, не матимуть права на визнання значком. Ми хочемо відзначати людей, які дають нам можливість виправити речі першими.
Якщо кілька людей повідомляють про ту саму проблему, ми оцінюватимемо подання на основі:
Зрозумілості технічного пояснення
Наскільки добре повідомлення передає реальний вплив
Позначки часу подання
Ми щиро цінуємо кожного дослідника, який витрачає час, щоб допомогти зробити Snipp безпечнішим.
Перш ніж подавати, подумайте, чи має проблема реалістичний сценарій атаки та вагомий вплив на безпеку. Наведене нижче зазвичай виключається:
Перебір акаунтів
Атаки, що вимагають MITM або фізичного доступу до пристрою користувача
Клікджекінг
Підробка вмісту та ін'єкція тексту
Вразливості CSRF
Записи SPF, DKIM та DMARC електронної пошти
Відсутні прапорці HttpOnly/Secure для файлів cookie
Відкриті заголовки CORS
Обмеження частоти запитів
Повідомлення від сканерів та автоматичних інструментів
Самоексплуатація (як-от повторне використання токенів та скриптинг у консолі)
Соціальна інженерія або фішингові атаки, спрямовані на користувачів чи персонал
Зовнішні сервіси, партнери та інтеграції перебувають за межами обсягу цієї програми. Кваліфікуються лише вразливості у функціях та API, що належать Snipp. Повідомлення мають демонструвати чіткий вплив на безпеку самого Snipp.
Будь-який сценарій, за якого зловмисник міг би отримати ключі API, токени сесії чи облікові дані іншого користувача, не покладаючись на соціальну інженерію, вважається таким, що входить в обсяг.
Відтворювані збої вебсайту, спричинені спеціально створеним введенням чи звичайною взаємодією користувача, вважаються такими, що входять в обсяг, за умови, що вони не залежать від вичерпання ресурсів, спаму чи інших технік відмови в обслуговуванні.
Повідомлення, що залежать від експлуатації стану гонки, потребують додаткових доказів для прийняття. Будь ласка, додайте принаймні одне з наведеного:
Відтворюваний скрипт (бажано Python або JavaScript, хоча інші мови також підходять)
Детальний опис, що охоплює методи HTTP, кінцеві точки та точний порядок запитів, потрібний для спрацювання стану
Додавання скрипта значно полегшує нам перевірку проблеми та пришвидшує процес розгляду.
Надішліть нам електронний лист з чітким описом проблеми, кроками для відтворення та будь-якими підтверджувальними доказами. Ми відповімо вам якомога швидше.