Politica di divulgazione delle vulnerabilità
Introduzione
Questa Politica di Disclosure delle Vulnerabilità (VDP) si applica a qualsiasi vulnerabilità che si considera di segnalare a Worksection. Si prega di leggere completamente questa VDP prima di segnalare una vulnerabilità e di agire sempre in conformità con essa.
Apprezziamo molto gli individui che dedicano il proprio tempo e sforzi a segnalare responsabilmente le vulnerabilità di sicurezza in conformità a questa politica. Siamo grati ai ricercatori che ci assistono nei nostri sforzi di sicurezza e vi ringraziamo anticipatamente per la vostra segnalazione e discrezione.
Il vostro test non deve violare alcuna legge né compromettere o interrompere dati che non sono di vostra proprietà. Se trovate una potenziale vulnerabilità che consente l’accesso a dati o risorse riservate, dovete informarci immediatamente — non continuate a indagare sulla vulnerabilità da soli.
Ambito
Questa politica si applica al seguente dominio: https://worksection.com/
Indicazioni
Pur incoraggiando fortemente la scoperta e la segnalazione responsabile delle vulnerabilità, alcune azioni sono strettamente vietate. Si prega di astenersi dall’impegnarsi nelle seguenti attività:
- Eseguire azioni che possono avere un impatto negativo sulla Società o sui suoi utenti, come inviare spam, condurre attacchi di forza bruta o lanciare attacchi di Denial of Service. Allo stesso modo, evitare qualsiasi test che possa compromettere l’accesso al sistema o danneggiare i dati.
- Accedere o tentare di accedere a qualsiasi dato o informazione che non vi appartiene. È importante rispettare i confini dell’accesso autorizzato.
- Distruggere, danneggiare o tentare di distruggere o danneggiare dati o informazioni che non vi appartengono. Proteggere l’integrità e la riservatezza dei dati.
- Utilizzare strumenti di scansione invasivi o distruttivi ad alta intensità per identificare vulnerabilità. Tali strumenti non devono essere impiegati in quanto possono causare interruzioni indebite.
- Impegnarsi in test fisici, incluso tentare di accedere agli uffici, sfruttare porte aperte o tailgating. Le tecniche di ingegneria sociale, come phishing o vishing, sono anche proibite. Concentrarsi esclusivamente sui test di vulnerabilità tecniche.
- Condurre attività di ingegneria sociale che mirano ai membri del team, ai contrattisti o agli utenti della Società. Rispettare la privacy e la fiducia delle persone associate alla nostra organizzazione.
- Violando qualsiasi legge o infrangendo accordi nella vostra ricerca di vulnerabilità. Attenersi ai confini legali ed etici lungo tutto il processo.
Adottando queste linee guida, garantite che le vostre attività di scoperta di vulnerabilità siano condotte in modo responsabile e legale.
Esclusioni dall’ambito
I seguenti risultati sono specificamente non premiabili all’interno di questo programma:
- Divulgazione di file o directory pubblici noti (es: robots.txt)
- Clickjacking e problemi determinati solo dal clickjacking
- Cross-Site Request Forgery di disconnessione (logout CSRF)
- Captcha debole
- Mancanza di flag di cookie Secure e HTTPOnly
- Configurazioni errate o mancanza di record SPF/DKIM
- Mancanza delle migliori pratiche SSL/TLS
- Vulnerabilità DDoS
- Mancanza di intestazioni di sicurezza HTTP, es: Strict-Transport-Security, X‑Frame-Options, X‑XSS-Protection, X‑Content-Type-Options, Content-Security-Policy, X‑Content-Security-Policy, X‑WebKit-CSP, Content-Security-Policy-Report-Only
- Versioni di software obsolete
- Vulnerabilità che colpiscono utenti di browser o piattaforme obsolete
- Ingegneria sociale, phishing, attività fisiche o altre attività fraudolente
- Self-XSS che non possono essere utilizzati per sfruttare altri utenti
- Vulnerabilità in componenti di terze parti
- Bug che richiedono interazioni utente estremamente improbabili
- Problemi di spoofing dei contenuti e iniezione di testo senza un reale vettore di attacco e/o senza la possibilità di modificare l’HTML
- Assunzione di sottodomini senza una prova di concetto
- Domain squatting o qualsiasi altra speculazione di dominio
- Vulnerabilità che richiedono accesso fisico al dispositivo di un utente
- Report di vulnerabilità generati da scanner o qualsiasi strumento di exploit automatico o attivo
- Vulnerabilità che coinvolgono contenuti attivi, come add-on per browser web
- Denial of service (DoS/DDoS) e spam (SMS, email, ecc.)
- La maggior parte dei problemi di forza bruta senza un impatto chiaro
- Pannelli di accesso pubblicamente accessibili senza prova di sfruttamento
- Divulgazione di informazioni pubbliche sugli utenti, così come informazioni non sensibili e moderatamente sensibili
Segnalazione di una vulnerabilità
Se hai scoperto una potenziale vulnerabilità di sicurezza sulla nostra piattaforma, ti chiediamo gentilmente di segnalarla direttamente al team di sicurezza della Società via email a security@worksection.ua. Questo assicura che la tua segnalazione ci raggiunga prontamente, consentendoci di rispondere in modo più efficace. Si prega di astenersi dall’inviare la segnalazione al nostro indirizzo email generale o tramite la chat di supporto.
Per mantenere la riservatezza della vulnerabilità, ti chiediamo di evitare di presentare un problema pubblico o discuterne su piattaforme di social media come Twitter o GitHub. Apprezziamo la tua collaborazione nel mantenere la comunicazione riguardante la vulnerabilità riservata tra te e il nostro team. Si prega di astenersi dal condividere le proprie segnalazioni o qualsiasi prova con altri utenti o aziende.
Quando si invia un report di vulnerabilità, si prega di assicurarsi che includa le seguenti informazioni essenziali:
- Titolo chiaro e pertinente. Fornire un titolo conciso e descrittivo che rifletta accuratamente la natura della vulnerabilità.
- Servizio/API colpita. Indicare chiaramente il servizio specifico o l’API colpita dalla vulnerabilità. Questo ci aiuterà a comprendere rapidamente l’ambito del problema.
- Dettagli sulla vulnerabilità e impatto. Spiegare approfonditamente la vulnerabilità, inclusi i dettagli tecnici e il potenziale impatto sui nostri sistemi o sugli utenti. Fornire informazioni sufficienti per aiutarci a capire la natura e la gravità della vulnerabilità.
- Passaggi per riprodurre / Prova di Concetto. Includere istruzioni dettagliate su come riprodurre la vulnerabilità, preferibilmente accompagnate da una Prova di Concetto (PoC). La PoC può essere in varie forme come una dimostrazione video, schermate da strumenti come Burp Suite, comandi curl, o frammenti di codice pertinenti. Questi materiali ci aiutano a verificare e comprendere meglio la vulnerabilità.
- Qualsiasi altro dettaglio importante. Sentiti libero di includere qualsiasi informazione aggiuntiva che ritieni sia rilevante o utile per la nostra comprensione della vulnerabilità. Questo può includere configurazioni di sistema, log pertinenti o qualsiasi altra documentazione di supporto che possa aiutare nel processo di risoluzione.
Fornendo un report completo che include questi elementi, aiuti notevolmente a valutare e affrontare in modo efficiente la vulnerabilità segnalata.
Cosa succede dopo aver segnalato una vulnerabilità
Dopo aver inviato il tuo report, lo analizzeremo in termini di impatto, severità e complessità di sfruttamento. Se lo riteniamo pertinente, ti risponderemo entro quindici (15) giorni lavorativi. Ti terremo informato sui nostri progressi.
Una volta rimediata la vulnerabilità segnalata, ti informeremo e potresti essere invitato a confermare che la soluzione copre adeguatamente la vulnerabilità. Accogliamo favorevolmente le richieste di divulgazione del tuo report una volta risolta la vulnerabilità. Tuttavia, ti preghiamo di non condividere informazioni su eventuali vulnerabilità scoperte per 90 giorni di calendario dopo aver ricevuto la nostra conferma di ricezione del tuo report.
Premi
Di solito non offriamo premi in denaro per le segnalazioni. Tuttavia, potremmo fare un’eccezione nel caso di bug critici validi e report di alta qualità. L’importo del premio sarà determinato in base all’impatto massimo della vulnerabilità. I report ben scritti e considerati utili hanno maggiori probabilità di essere considerati per un premio.
Si prega di notare che solo il primo individuo a segnalare un difetto precedentemente sconosciuto avrà diritto a un premio.