Politika zveřejnění zranitelností
Úvod
Tato politika zveřejnění zranitelnosti (VDP) se vztahuje na jakékoli zranitelnosti, které zvažujete nahlásit společnosti Worksection. Před nahlášením zranitelnosti si prosím tuto VDP důkladně přečtěte a vždy se řiďte jejím ustanovením.
Velmi si vážíme jednotlivců, kteří věnují svůj čas a úsilí zodpovědnému zveřejnění bezpečnostních zranitelností v souladu s touto politikou. Děkujeme výzkumníkům, kteří nám pomáhají v našich bezpečnostních snahách, a předem vám děkujeme za vaše oznámení a zdrženlivost.
Vaše testování nesmí porušovat žádný zákon ani narušovat nebo ohrožovat žádná data, která nejsou vaše. Pokud naleznete potenciální zranitelnost, která umožňuje přístup k omezeným datům nebo zdrojům, měli byste nás okamžitě informovat — nezkoušejte zranitelnost vyšetřovat sami.
Rozsah
Tato politika se vztahuje na následující doménu: https://worksection.com/
Pokyny
Přestože silně podporujeme zodpovědné objevování a hlášení zranitelností, určité akce jsou přísně zakázány. Vyhněte se následujícím aktivitám:
- Vykonávání akcí, které mohou mít negativní dopad na společnost nebo její uživatele, jako je spamování, provádění hrubou silou útoky nebo spuštění DDoS útoků. Podobně se vyhněte testům, které mohou poškodit přístup k systému nebo způsobit poškození dat.
- Přístup nebo pokus o přístup k jakýmkoli datům nebo informacím, které nepatří vám. Je důležité respektovat hranice autorizovaného přístupu.
- Ničení, poškozování nebo pokus o zničení či poškození jakýchkoli dat nebo informací, které nepatří vám. Chraňte integritu a důvěrnost dat.
- Používání vysoce intenzivních invazivních nebo destruktivních skenovacích nástrojů za účelem identifikace zranitelností. Takové nástroje by neměly být používány, protože mohou způsobit nepřiměřené narušení.
- Zapojení se do fyzického testování, včetně pokusu o přístup do kanceláře, využívání otevřených dveří nebo připojení se k někomu, kdo se již v kanceláři nachází. Také jsou zakázány techniky sociálního inženýrství, jako je phishing nebo vishing. Zaměřte se pouze na technické testování zranitelnosti.
- Provádění aktivit sociálního inženýrství cílených na členy týmu společnosti, dodavatele nebo uživatele. Respektujte soukromí a důvěru jednotlivců spojených s naší organizací.
- Porušování jakýchkoli zákonů nebo porušování dohod při snaze o odhalení zranitelností. Po celou dobu procesu dodržujte právní a etické hranice.
Dodržováním těchto pokynů zajistíte, že vaše aktivity v oblasti objevování zranitelností budou prováděny zodpovědně a zákonně.
Výjimky z rozsahu
Následující zjištění jsou v rámci tohoto programu konkrétně neodměnitelná:
- Zveřejnění známých veřejných souborů nebo adresářů (např. robots.txt)
- Clickjacking a určité problémy exploitable pouze skrze clickjacking
- Logout Cross-Site Request Forgery (logout CSRF)
- Slabý captcha
- Nedostatek Secure a HTTPOnly cookie flagů
- Chybně nakonfigurované nebo chybějící SPF/DKIM záznamy
- Chybějící nejlepší praxe SSL/TLS
- DDoS zranitelnosti
- Chybějící HTTP bezpečnostní hlavičky, např.: Strict-Transport-Security, X‑Frame-Options, X‑XSS-Protection, X‑Content-Type-Options, Content-Security-Policy, X‑Content-Security-Policy, X‑WebKit-CSP, Content-Security-Policy-Report-Only
- Zastaralé verze softwaru
- Zranitelnosti ovlivňující uživatele zastaralých prohlížečů nebo platforem
- Sociální inženýrství, phishing, fyzické nebo jiné podvodné aktivity
- Self-XSS, které nelze použít k exploataci jiných uživatelů
- Zranitelnosti ve třetích stranách
- Bugs, které vyžadují extrémně nepravděpodobnou interakci uživatele
- Obsahové spoofing a problémy s injekcí textu bez skutečného útokového vektoru a/nebo bez možnosti modifikace HTML
- Overení subdomény bez důkazu konceptu
- Doménové spekulace nebo jakékoli jiné spekulace o doménách
- Zranitelnosti, které vyžadují fyzický přístup k zařízení uživatele
- Zprávy o zranitelnostech generované skenery nebo jakýmikoli automatizovanými nebo aktivními exploitačními nástroji
- Zranitelnosti zahrnující aktivní obsah, jako jsou doplňky pro webový prohlížeč
- Denial of service (DoS/DDoS) a spamming (SMS, e‑mail atd.)
- Většina problémů s hrubou silou bez jakéhokoli jasného dopadu
- Veřejně přístupné přihlašovací panely bez důkazu exploatace
- Zveřejnění veřejných informací o uživatelích, stejně jako citlivých a mírně citlivých informací
Hlásení zranitelnosti
Pokud jste objevili potenciální bezpečnostní zranitelnost na naší platformě, laskavě žádáme, abyste ji nahlásili přímo bezpečnostnímu týmu společnosti prostřednictvím e‑mailu na adresu security@worksection.ua. Tím zajistíte, že vaše zpráva k nám dorazí včas, což nám umožní na ni lépe reagovat. Prosím, vyhněte se zasílání zprávy na naši obecnou e‑mailovou adresu nebo prostřednictvím podpory chatu.
Abychom udrželi důvěrnost zranitelnosti, žádáme vás, abyste se vyhnuli podání veřejného problému nebo jeho diskusi na sociálních médiích, jako jsou Twitter nebo GitHub. Děkujeme za vaši spolupráci při udržení komunikace ohledně zranitelnosti důvěrné mezi vámi a naším týmem. Prosím, nezdělujte své zprávy ani žádné důkazy s ostatními uživateli nebo společnostmi.
Při předkládání zprávy o zranitelnosti se ujistěte, že obsahuje následující základní informace:
- Jasný a relevantní název. Uveďte stručný a popisný název, který přesně odráží povahu zranitelnosti.
- Ovlivněná služba/API. Jasně uveďte konkrétní službu nebo API, které je zranitelností ovlivněno. To nám pomůže rychle pochopit rozsah problému.
- Podrobnosti o zranitelnosti a dopad. Podrobně vysvětlete zranitelnost, včetně jejích technických podrobností a potenciálního dopadu na naše systémy nebo uživatele. Poskytněte dostatečné informace, které nám pomohou pochopit povahu a závažnost zranitelnosti.
- Kroky pro reprodukci / Důkaz konceptu. Uveďte podrobné pokyny, jak zranitelnost reprodukovat, ideálně doplněné důkazem konceptu (PoC). PoC může mít různé formy, jako je videa, screenshoty z nástrojů jako Burp Suite, příkazy curl nebo relevantní úryvky kódu. Tyto materiály nám pomáhají lépe ověřit a pochopit zranitelnost.
- Jakékoli další důležité informace. Neváhejte zahrnout další informace, které považujete za relevantní nebo užitečné pro naše pochopení zranitelnosti. To může zahrnovat systémové konfigurace, relevantní protokoly nebo jakoukoli dokumentaci, která může pomoci v procesu řešení.
Poskytováním komplexní zprávy, která obsahuje tyto prvky, nám významně pomáháte efektivně posoudit a řešit hlášenou zranitelnost.
Co se děje po nahlášení zranitelnosti
Poté, co odešlete svou zprávu, ji analyzujeme z hlediska dopadu, závažnosti a složitosti exploatace. Pokud ji považujeme za relevantní, odpovíme vám do patnácti (15) pracovních dnů. Budeme vás informovat o našem postupu.
Jakmile bude hlášená zranitelnost odstraněna, upozorníme vás a můžete být vyzváni k potvrzení, že řešení odpovídá dostatečně zranitelnosti. Vítáme žádosti o zveřejnění vaší zprávy, jakmile byla vaše zranitelnost vyřešena. Prosím, vyhněte se sdílení informací o jakýchkoli objevených zranitelnostech po dobu 90 kalendářních dní po obdržení našeho potvrzení o obdržení vaší zprávy.
Odměny
Obvykle nenabízíme žádné hotovostní odměny za zaslané zprávy. Můžeme však učinit výjimku v případě platných kritických chyb a vysoce kvalitních zpráv. Výše odměny bude určena na základě maximálního dopadu zranitelnosti. Zprávy, které jsou dobře napsané a považovány za užitečné, mají větší šanci být zohledněny pro odměnu.
Všimněte si, že pouze první jedinec, který nahlásil dříve neznámou chybu, bude kvalifikován pro odměnu.