Әлсіздік жариялау саясаты
Кіріспе
Бұл Зауыттылықтың ашылу саясаты (VDP) Worksection-ге хабарлауға болатын кез келген осалдықтарға қатысты қолданылады. Осалдықты хабарламас бұрын, осы VDP-ны толық оқып шығуды өтінеміз және әрдайым онымен сәйкес әрекет жасауды талап етеміз.
Бұл саясатқа сәйкес жауапкершілікпен қауіпсіздік осалдықтарын ашуға уақыттары мен күштерін арнайтын адамдарды жоғары бағалаймыз. Біз қауіпсіздік күштерімізде көмектесетін зерттеушілерге алғысымызды білдіреміз және сіздің жолдамаңыз бен ықыласыңыз үшін алдын ала ризашылығымызды жеткіземіз.
Сіз жасаған тесттер ешқандай заңды бұзбауы немесе сіздің емес деректерді бұзып немесе компрометацияламауы тиіс. Шектеулі деректерге немесе ресурстарға қол жеткізуге мүмкіндік беретін ықтимал осалдық тапсаңыз, бізге дереу хабарлаңыз — осалдықты өзіңіз тексеруді жалғастырмаңыз.
Қолданылу ауқымы
Бұл саясат келесі доменге қолданылады: https://worksection.com/
Нұсқаулық
Біз жауапкершілікпен осалдықты ашуды және хабарлауды ынталандырамыз, бірақ кейбір әрекеттер қатаң тыйым салынады. Келесі әрекеттермен айналыспауды өтінеміз:
- Компанияға немесе оның пайдаланушыларына теріс әсер етуі мүмкін әрекеттерді орындау, мысалы, спам жіберу, брутфорс шабуылдарын жүргізу немесе қызмет көрсетуге кедергі жасау шабуылдарын бастау. Сонымен қатар, жүйеге қол жетімділікті жоя алатын тесттерді жүргізуден аулақ болыңыз.
- Сізге тиесілі емес кез келген деректерге немесе ақпаратқа қол жеткізу немесе оған қол жеткізуге әрекет ету. Рұқсат етілген қол жеткізу шекараларын құрметтеу маңызды.
- Сізге тиесілі емес кез келген деректерді немесе ақпаратты жою, бүлдіру немесе жоюға әрекет ету. Деректердің бүтіндігі мен құпиялығын қорғаңыз.
- Осау пайдалану мақсаты үшін жоғары интенсивті инвазивті немесе бұзушы сканерлеу құралдарын пайдалану. Мұндай құралдарды қолданбау керек, себебі олар қажетсіз кедергілер тудыруы мүмкін.
- Физикалық тексеру жүргізу, офистегі қол жеткізуді, ашық есіктерді пайдалану немесе кедергімен жүгірту. Әлеуметтік инженерия әдістері, мысалы, фишинг немесе висинг, сондай-ақ тыйым салынады. Тек техникалық осалдықты тестілеуге назар аударыңыз.
- Компанияның команда мүшелеріне, мердігерлерге немесе пайдаланушыларына бағытталған әлеуметтік инженерия әрекеттерін жүргізу. Біздің ұйыммен байланысты тұлғалардың құпиялылығын және сенімін құрметтеңіз.
- Осалдықтарды іздеу барысында заңдарды бұзып немесе келісімшарттарды бұзу. Процесс барысында заңмен және этикалық шекараларға адал болыңыз.
Осы нұсқауларды орындау арқылы сіздің осалдықты ашу әрекеттеріңіз жауапты және заңды түрде жүзеге асырылады.
Қолданылу шеңберінен шығу
Келесі табыстар сыйақы берілмейтін бағдарламаның шеңберіне нақты жатады:
- Автоматтандырылған файлдар немесе каталогтардың (мысалы, robots.txt) ашылуы
- Clickjacking және тек clickjacking арқылы пайдалану мүмкін болатын белгілі мәселелер
- Logout Cross-Site Request Forgery (logout CSRF)
- Слабый captcha
- Secure және HTTPOnly cookie белгілерінің болмауы
- SPF/DKIM жазбаларының дұрыс конфигурацияланбауы немесе болмауы
- SSL/TLS ең жақсы тәжірибелерінің болмауы
- DDoS осалдықтары
- HTTP қауіпсіздік заголовковының болмауы, мысалы: Strict-Transport-Security, X‑Frame-Options, X‑XSS-Protection, X‑Content-Type-Options, Content-Security-Policy, X‑Content-Security-Policy, X‑WebKit-CSP, Content-Security-Policy-Report-Only
- Ескі бағдарламалық қамтамасыз ету нұсқалары
- Ескі браузерлер немесе платформалар пайдаланушыларын әсер ететін осалдықтар
- Әлеуметтік инженерия, фишинг, физикалық немесе басқа алаяқтық әрекеттер
- Басқа пайдаланушыларды пайдалануға болмайтын Self-XSS
- Үшінші тарап компоненттеріндегі осалдықтар
- Деңгейден қатты төмен пайдаланушы взаимодействиясын талап ететін қателер
- Шынайы шабуыл векторы немесе HTML модификациясынсыз контентті бұрмалау және мәтінде инъекциялық мәселелер
- Концепт жариялаусыз субдоменді басып алу
- Доменді жалған немесе кез келген басқа домендік спекуляциялар
- Пайдаланушы құрылғысына физикалық қол жұмсауды талап ететін осалдықтар
- Сканерлер немесе кез келген автоматтандырылған немесе белсенді шабуыл құралдары арқылы жасалған осалдық хабарламалары
- Белсенді контентті қамтитын осалдықтар, мысалы, веб-шолғыш аддондары
- Қызмет көрсету бұзу (DoS/DDoS) және спам жіберу (SMS, электрондық пошта және т.б.)
- Кез келген айқын әсері жоқ брутфорс мәселелері
- Ашық қолжетімді логин панельдері, пайдалану дәлелінсіз
- Ашық пайдаланушы ақпаратын жариялау, сондай-ақ сезімтал емес және орташа сезімтал ақпарат
Осалдықты есепке алу
Егер сіз платформамызда потенциалды қауіпсіздік осалдықтарын тапсаңыз, оны Компанияның қауіпсіздік командасына электрондық пошта арқылы security@worksection.ua адресіне хабарлауыңызды өтінеміз. Бұл сіздің хабарламаңыздың бізге уақтылы жетуін қамтамасыз етеді, бұл бізге тиімдірек жауап беруге мүмкіндік береді. Бізге хатшы электрондық пошта немесе қолдау чаты арқылы есеп беруден аулақ болыңыз.
Осалдықтың құпиялылығын сақтау үшін, қоғамдық мәселені тіркеуден немесе Twitter немесе GitHub сияқты әлеуметтік медиа платформаларында талқылаудан бас тартуды өтінеміз. Осалдық жөніндегі хабарламалар мен біздің топ арасындағы байланыс құпиялығын сақтау үшін сіздің ынтымақтастықтарыңызды бағалаймыз. Сіздің хабарламаларыңызды немесе кез келген дәлелдерді басқа пайдаланушылармен немесе компаниялармен бөлісуден бас тартыңыз.
Осалдық есебін жіберген кезде, өтінеміз, оның келесі негізгі ақпаратты қамтитынына көз жеткізіңіз:
- Айқын және сәйкес атау. Осалдықтың табиғатын дәл көрсететін қысқаша және сипаттама атау беріңіз.
- Зақым келген қызмет/API. Осалдыққа әсер ететін нақты қызметті немесе API-ны анық көрсетіңіз. Бұл бізге мәселенің ауқымын тез түсінуге көмектеседі.
- Осалдықтың егжей-тегжейлері және әсері. Осалдықты, оның техникалық егжей-тегжейлерін және жүйемізге немесе пайдаланушыларға ықтимал әсерін толық түсіндіріңіз. Осалдықтың табиғатын және ауырлығын түсінуге көмектесетін жеткілікті мәлімет беріңіз.
- Көшіру / Концепция дәлелі қадамдары. Осалдықты көшіру бойынша егжей-тегжейлі нұсқауларды енгізіңіз, мүмкін, Концепция дәлелі (PoC) бар. PoC бейнелік демонстрациялар, Burp Suite сияқты құралдардан скриншоттар, curl командалары немесе тиісті код үзінділері түрінде болуы мүмкін. Бұл материалдар осалдықты тексеріп, түсінуге көмектеседі.
- Кез келген басқа маңызды мәліметтер. Осалдықты түсіну үшін маңызды немесе пайдалы деп есептейтін кез келген қосымша ақпараттарды қосудан тартынбаңыз. Бұған жүйе конфигурациялары, тиісті журналдар немесе шешім процесінде көмектесу үшін кез келген басқа қолдау құжаттары кіруі мүмкін.
Осы элементтерді қамтитын жан-жақты есеп беру арқылы сіз бізге хабарланған осалдықты тиімді бағалап, шешуге үлкен көмектесесіз.
Осалдықты есептегеннен кейін не болады
Сіз есеп беруіңізді тапсырғаннан кейін, біз оны әсер, ауырлық пен пайдалану қиындығы тұрғысынан талдаймыз. Егер біз оны маңызды деп санасақ, біз сізге он бес (15) жұмыс күні ішінде жауап береміз. Біз сізге тиісті прогрессіміз туралы хабар береміз.
Хабарланған осалдық жойылғаннан кейін, біз сізбен хабарласамыз, сіз шешімнің осалдықты жеткілікті түрде жапқанын растауыңыз мүмкін. Шешім қабылданғаннан кейін сіздің есеп беруді жариялауға өтініштерді қуана қарсы аламыз. Дегенмен, біздің есеп беру үстімізге алғанымызды растағаннан кейінгі 90 күнтізбелік күн ішінде ашылған осалдықтар туралы ақпараттарды бөлісуден тартыңыз.
Сыйақылар
Әдетте, біз ұсыныстар үшін ақшалай сыйақылар ұсынбаймыз. Дегенмен, егер жарамды критикалық қателер немесе жоғары сапалы есептер болса, біз ерекше жағдай жасауы мүмкінбіз. Сыйақы мөлшері осалдықтың максималды әсері негізінде анықталады. Жақсы жазылған және пайдалы деп саналатын есептер сыйлық алуға көбірек мүмкіндік алады.
Тек алғашқы адам бұрынғы белгісіз кемшілікті хабарласа, ол сыйақыға құқылы болатынын ескеріңіз.