Bảo mật là cốt lõi để giữ Snipp an toàn cho mọi người, và chúng tôi dựa vào các nhà nghiên cứu để giúp tìm và sửa lỗ hổng nhanh chóng. Nếu bạn phát hiện một vấn đề bảo mật, chúng tôi muốn biết. Chúng tôi trân trọng mọi công bố có trách nhiệm, chúc bạn săn lỗi vui vẻ!
Chúng tôi sẽ không bao giờ theo đuổi hành động pháp lý đối với bất kỳ ai báo cáo lỗ hổng một cách thiện chí và tuân theo các hướng dẫn trên trang này.
Chúng tôi cố gắng xác nhận mọi báo cáo trong vòng 48 giờ và sẽ cập nhật cho bạn trong suốt quá trình xử lý.
Tùy vào mức độ nghiêm trọng và tác động của phát hiện, bạn có thể đủ điều kiện nhận một huy hiệu hồ sơ độc quyền và những tháng đăng ký PLUS miễn phí.
Các nhà nghiên cứu đóng góp có ý nghĩa cho bảo mật của Snipp có thể nhận huy hiệu hồ sơ hiển thị công khai trên tài khoản của họ.
Được trao cho báo cáo lỗ hổng hợp lệ đầu tiên của bạn. Ghi nhận những nhà nghiên cứu giúp Snipp an toàn hơn.
Được trao sau 3-5 báo cáo xuất sắc hoặc một phát hiện nghiêm trọng. Dành riêng cho những nhà nghiên cứu tích cực phát hiện các vấn đề có tác động lớn nhất.
Mọi hoạt động kiểm thử phải được thực hiện trên tài khoản của chính bạn. Không bao giờ tương tác với hoặc gây ảnh hưởng đến dữ liệu hay tài khoản của người dùng khác.
Chỉ các dịch vụ do Snipp vận hành nằm trong phạm vi. Các báo cáo nhắm vào nền tảng của bên thứ ba, kể cả khi được tích hợp qua API của chúng tôi, sẽ không được chấp nhận.
Tránh mọi hoạt động có thể làm suy giảm dịch vụ hoặc tổn hại tính toàn vẹn dữ liệu của chúng tôi. Điều này bao gồm dò mật khẩu, DoS, spam và các tấn công dựa trên thời gian.
Không cho phép dùng công cụ quét tự động. Mọi kiểm thử nên được thực hiện thủ công.
Chúng tôi có thể tạm thời loại một số loại lỗ hổng khỏi phạm vi trong khi xử lý nội bộ. Mọi thay đổi sẽ được phản ánh trên trang này.
Vui lòng giữ bí mật mọi phát hiện cho đến khi chúng tôi điều tra và giải quyết hoàn toàn vấn đề.
Công bố có trách nhiệm là cách tốt nhất để giúp chúng tôi khắc phục vấn đề nhanh chóng trong khi giảm thiểu rủi ro. Khi bạn báo cáo trực tiếp cho chúng tôi, chúng tôi có thể bắt tay vào sửa lỗi ngay mà không để lộ lỗ hổng cho kẻ xấu.
Các phát hiện được chia sẻ công khai trước khi chúng tôi có cơ hội xử lý, dù trên mạng xã hội, diễn đàn hay bất cứ đâu khác, sẽ không đủ điều kiện được ghi nhận huy hiệu. Chúng tôi muốn ghi công những người cho chúng tôi cơ hội sửa lỗi trước.
Nếu nhiều người báo cáo cùng một vấn đề, chúng tôi sẽ đánh giá các bài gửi dựa trên:
Sự rõ ràng của phần giải thích kỹ thuật
Mức độ báo cáo truyền đạt tác động thực tế
Dấu thời gian gửi
Chúng tôi thực sự trân trọng mọi nhà nghiên cứu dành thời gian giúp Snipp an toàn hơn.
Trước khi gửi, hãy cân nhắc liệu vấn đề có một kịch bản tấn công thực tế và tác động bảo mật có ý nghĩa hay không. Những điều sau thường bị loại trừ:
Liệt kê tài khoản
Các tấn công yêu cầu MITM hoặc truy cập vật lý vào thiết bị của người dùng
Clickjacking
Giả mạo nội dung và chèn văn bản
Lỗ hổng CSRF
Bản ghi SPF, DKIM và DMARC của email
Thiếu cờ cookie HttpOnly/Secure
Tiêu đề CORS mở
Giới hạn tần suất
Báo cáo từ trình quét và công cụ tự động
Tự khai thác (như tái sử dụng token và viết script trên console)
Tấn công phi kỹ thuật hoặc lừa đảo nhắm vào người dùng hoặc nhân viên
Các dịch vụ bên ngoài, đối tác và tích hợp nằm ngoài phạm vi của chương trình này. Chỉ các lỗ hổng trong tính năng và API thuộc sở hữu của Snipp mới đủ điều kiện. Báo cáo phải cho thấy tác động bảo mật rõ ràng đối với chính Snipp.
Mọi kịch bản trong đó kẻ tấn công có thể lấy khóa API, token phiên hoặc thông tin xác thực của người dùng khác mà không dựa vào tấn công phi kỹ thuật đều được coi là nằm trong phạm vi.
Các sự cố trang web có thể tái hiện do dữ liệu đầu vào được tạo riêng hoặc tương tác người dùng thông thường được coi là nằm trong phạm vi, miễn là chúng không phụ thuộc vào việc làm cạn kiệt tài nguyên, spam hoặc các kỹ thuật từ chối dịch vụ khác.
Các báo cáo phụ thuộc vào việc khai thác tranh chấp tài nguyên cần thêm bằng chứng để được chấp nhận. Vui lòng kèm ít nhất một trong những điều sau:
Một script có thể tái hiện (ưu tiên Python hoặc JavaScript, dù các ngôn ngữ khác cũng được)
Một bài viết chi tiết về các phương thức HTTP, endpoint và thứ tự yêu cầu chính xác cần để kích hoạt điều kiện đó
Việc kèm theo script giúp chúng tôi xác minh vấn đề dễ dàng hơn nhiều và đẩy nhanh quá trình xem xét.
Hãy gửi email cho chúng tôi kèm mô tả rõ ràng về vấn đề, các bước tái hiện và mọi bằng chứng hỗ trợ. Chúng tôi sẽ phản hồi sớm nhất có thể.