Политика раскрытия уязвимостей
Введение
Данная Политика раскрытия уязвимостей (VDP) применима ко всем уязвимостям, которые вы рассматриваете для сообщения в Worksection. Пожалуйста, внимательно прочитайте эту VDP перед тем, как сообщить о уязвимости, и всегда действуйте в соответствии с ней.
Мы высоко ценим людей, которые посвящают своё время и силы ответственному раскрытию уязвимостей безопасности в соответствии с этой политикой. Мы благодарим исследователей, которые помогают нам в наших усилиях по обеспечению безопасности, и заранее выражаем благодарность за ваши сообщения и сдержанность.
Ваши тестирования не должны нарушать законы или нарушать, или компрометировать данные, которые не являются вашими. Если вы обнаружите потенциальную уязвимость, позволяющую доступ к ограниченным данным или ресурсам, вы должны немедленно уведомить нас — не продолжайте исследовать уязвимость самостоятельно.
Область применения
Данная политика применяется к следующему домену: https://worksection.com/
Руководство
Хотя мы настоятельно поощряем ответственное выявление и сообщение о уязвимостях, некоторые действия строго запрещены. Пожалуйста, воздержитесь от участия в следующих действиях:
- Выполнение действий, которые могут отрицательно сказаться на компании или её пользователях, таких как спам, проведение атак методом перебора или запуск атак типа “отказ в обслуживании”. Аналогично, избегайте любых тестов, которые могут ухудшить доступ к системе или нанести ущерб данным.
- Доступ или попытка доступа к любым данным или информации, которые не принадлежат вам. Важно уважать границы авторизованного доступа.
- Уничтожение, порча или попытка уничтожения или порчи любых данных или информации, которые не принадлежат вам. Обеспечьте целостность и конфиденциальность данных.
- Использование высокоинтенсивных инвазивных или разрушительных инструментов сканирования с целью выявления уязвимостей. Такие инструменты не должны использоваться, так как они могут вызвать неоправданные сбои.
- Участие в физических тестированиях, включая попытки доступа в офис, использование открытых дверей или “хождение по пятам”. Социальная инженерия, такая как фишинг или “вишинг”, также запрещены. Сосредоточьтесь исключительно на техническом тестировании уязвимостей.
- Проведение действий социальной инженерии, нацеленных на сотрудников компании, подрядчиков или пользователей. Уважайте частную жизнь и доверие людей, связанных с нашей организацией.
- Нарушение любых законов или условий соглашений в процессе выявления уязвимостей. Соблюдайте юридические и этические границы на протяжении всего процесса.
Соблюдая эти рекомендации, вы обеспечите ответственное и законное проведение ваших действий по выявлению уязвимостей.
Исключения из области применения
Следующие находки являются неподходящими для вознаграждения в рамках данной программы:
- Раскрытие известных общедоступных файлов или директорий (например, robots.txt)
- Кликджекинг и определённые проблемы, которые можно эксплуатировать только через кликджекинг
- Подделка Cross-Site Request Forgery при выходе (logout CSRF)
- Слабая капча
- Отсутствие флагов Secure и HTTPOnly для cookies
- Неправильная конфигурация или отсутствие записей SPF/DKIM
- Отсутствие лучших практик SSL/TLS
- DDoS-уязвимости
- Отсутствие HTTP заголовков безопасности, например: Strict-Transport-Security, X‑Frame-Options, X‑XSS-Protection, X‑Content-Type-Options, Content-Security-Policy, X‑Content-Security-Policy, X‑WebKit-CSP, Content-Security-Policy-Report-Only
- Устаревшие версии программного обеспечения
- Уязвимости, затрагивающие пользователей устаревших браузеров или платформ
- Социальная инженерия, фишинг, физические или другие мошеннические действия
- Self-XSS, которое не может быть использовано для эксплуатации других пользователей
- Уязвимости в компонентах третьих сторон
- Ошибки, требующие крайне маловероятного взаимодействия с пользователем
- Подмена контента и проблемы инъекции текста без реального вектора атаки и/или без возможности модификации HTML
- Захват поддомена без подтверждения концепции
- Захват домена или любые другие доменные спекуляции
- Уязвимости, требующие физического доступа к устройству пользователя
- Отчёты об уязвимостях, сгенерированные сканерами или любыми автоматизированными или активными инструментами эксплуатации
- Уязвимости, связанные с активным контентом, такими как дополнения к веб-браузеру
- Отказ в обслуживании (DoS/DDoS) и спам (SMS, email и т.д.)
- Большинство проблем с перебором без явного влияния
- Общедоступные панели входа без подтверждения эксплуатации
- Раскрытие общественной информации о пользователях, а также несенситивной и умеренно чувствительной информации
Сообщение о уязвимости
Если вы обнаружили потенциальную уязвимость безопасности на нашей платформе, мы настоятельно просим вас сообщить об этом прямо команде безопасности компании по электронной почте по адресу security@worksection.ua. Это гарантирует, что ваш отчёт быстро дойдёт до нас, что позволит нам более эффективно отреагировать. Пожалуйста, воздержитесь от отправки отчёта на наш общий адрес электронной почты или через чат поддержки.
Чтобы сохранить конфиденциальность уязвимости, мы просим вас избегать публикации общедоступной проблемы или обсуждения её в социальных сетях, таких как Twitter или GitHub. Мы ценим ваше сотрудничество в соблюдении конфиденциальности общения касательно уязвимости между вами и нашей командой. Пожалуйста, воздержитесь от обмена вашими отчётами или любыми доказательствами с другими пользователями или компаниями.
При отправке отчёта о уязвимости, пожалуйста, убедитесь, что он включает следующие необходимые сведения:
- Чёткий и актуальный заголовок. Предоставьте краткий и описательный заголовок, который точно отражает суть уязвимости.
- Затронутый сервис/API. Четко укажите конкретный сервис или API, которые затронуты уязвимостью. Это поможет нам быстро понять масштаб проблемы.
- Детали уязвимости и её воздействие. Тщательно объясните уязвимость, включая её технические детали и потенциальное воздействие на наши системы или пользователей. Предоставьте достаточно информации, чтобы помочь нам понять природу и серьёзность уязвимости.
- Шаги для воспроизведения / Подтверждение концепции. Включите подробные инструкции по воспроизведению уязвимости, желательно с подтверждением концепции (PoC). PoC может быть в различных формах, таких как видеодемонстрация, скриншоты из инструментов, таких как Burp Suite, команды curl или соответствующие фрагменты кода. Эти материалы помогут нам лучше проверить и понять уязвимость.
- Любые другие важные детали. Не стесняйтесь включать любую дополнительную информацию, которую вы считаете актуальной или полезной для нашего понимания уязвимости. Это могут быть конфигурации системы, актуальные журналы или любая другая поддерживающая документация, которая может помочь в процессе решения.
Предоставляя всесторонний отчёт, который включает эти элементы, вы значительно помогаете нам эффективно оценивать и решать выявленную уязвимость.
Что происходит после сообщения о уязвимости
После того, как вы отправите свой отчёт, мы проанализируем его с точки зрения воздействия, серьёзности и сложности эксплуатации. Если мы сочтем его актуальным, мы ответим вам в течение пятнадцати (15) рабочих дней. Мы будем держать вас в курсе нашего прогресса.
Когда сообщённая уязвимость будет устранена, мы уведомим вас, и вам может быть предложено подтвердить, что решение адекватно решает уязвимость. Мы приветствуем просьбы раскрыть ваш отчёт после того, как ваша уязвимость будет решена. Однако, пожалуйста, воздержитесь от раскрытия информации о любых обнаруженных уязвимостях в течение 90 календарных дней после получения нашего подтверждения о получении вашего отчёта.
Вознаграждения
Обычно мы не предлагаем никаких денежных вознаграждений за сообщения. Однако, в случае действительных критических ошибок и качественных отчётов, мы можем сделать исключение. Размер вознаграждения будет определён в зависимости от максимального воздействия уязвимости. Сообщения, которые написаны хорошо и признаны полезными, имеют больше шансов быть рассмотренными для вознаграждения.
Пожалуйста, обратите внимание, что только первый человек, сообщивший о ранее неизвестной уязвимости, квалифицируется на получение вознаграждения.