安全是保障 Snipp 用户安全的核心,我们依靠研究人员的帮助来快速发现并修复漏洞。如果您发现了安全问题,请务必告知我们。我们感谢每一位负责任的披露者,祝您探索愉快!
对于任何出于善意并遵循本页准则报告漏洞的人,我们绝不会采取法律行动。
我们力求在 48 小时内确认收到每一份报告,并会在整个处理过程中随时向您汇报最新进展。
根据您发现问题的严重性和影响程度,您可能有资格获得专属个人资料徽章和数月的 PLUS 会员免费订阅。
对 Snipp 的安全做出有意义贡献的研究人员可以获得个人资料徽章,这些徽章会公开显示在他们的帐户上。
奖励给您提交的第一份有效漏洞报告。表彰为提升 Snipp 安全性做出贡献的研究人员。
该奖项颁发给发表3-5份杰出报告或一项关键发现的研究人员。奖项授予那些积极探索最具影响力问题的研究人员。
所有测试必须在您自己的帐户上进行。切勿与任何其他用户的数据或帐户进行交互或造成任何影响。
仅Snipp运营的服务在统计范围内。针对第三方平台(即使是通过我们的API集成的平台)的报告将不被接受。
避免任何可能降低服务质量或损害数据完整性的活动。这包括暴力破解,拒绝服务攻击,垃圾邮件和基于时间的攻击。
禁止使用自动扫描工具。所有测试都必须手动完成。
我们可能会暂时将某些类型的漏洞排除在处理范围之外,以便进行内部修复。任何变更都将在此页面上反映。
在我们彻底调查并解决问题之前,请对所有调查结果保密。
负责任的披露是帮助我们快速解决问题并最大限度降低风险的最佳方式。当您直接向我们报告时,我们可以立即着手修复,而不会将漏洞暴露给恶意行为者。
在我们有机会解决问题之前,无论是在社交媒体,论坛还是其他任何地方,公开分享的调查结果都将无法获得徽章认可。我们希望表彰那些首先给我们机会解决问题的人。
如果多人报告同一问题,我们将根据以下标准评估提交的内容:
技术解释的清晰度
报告对现实世界影响的传达效果如何?
提交时间戳
我们衷心感谢每一位抽出时间帮助提高 Snipp 安全性的研究人员。
提交之前,请考虑该问题是否具有实际的攻击场景和显著的安全影响。以下情况通常会被排除在外:
账户枚举
需要中间人攻击或物理访问用户设备的攻击
点击劫持
内容欺骗和文本注入
CSRF漏洞
通过电子邮件发送 SPF,DKIM 和 DMARC 记录
缺少 HttpOnly/Secure cookie 标志
打开 CORS 标头
限速
来自扫描仪和自动化工具的报告”
自我利用(例如令牌重用和控制台脚本)
针对用户或员工的社交工程或网络钓鱼攻击
外部服务,合作伙伴和集成不在本计划的范围内。只有 Snipp 自有功能和 API 中的漏洞才符合条件。报告必须明确显示漏洞对 Snipp 本身的安全影响。
任何攻击者无需依靠社会工程手段即可获取其他用户的 API 密钥,会话令牌或凭据的场景都属于本案的讨论范围。
只要不依赖于资源耗尽,垃圾邮件或其他拒绝服务技术,由精心设计的输入或正常用户交互引起的可重现网站崩溃都属于本研究的范畴。
依赖于利用竞态条件进行攻击的报告需要提供额外证据才能被接受。请至少提供以下一项:
一个可复现的脚本(最好是 Python 或 JavaScript,但其他语言也可以)。
一份详尽的文档,涵盖了触发该条件所需的 HTTP 方法,端点和确切的请求顺序。
提供脚本能让我们更容易地核实问题,并加快审核流程。