Polityka ujawniania podatności
Wprowadzenie
Ta Polityka Ujawniania Luk (VDP) dotyczy wszelkich luk, które rozważasz zgłosić do Worksection. Prosimy o dokładne zapoznanie się z tą VDP przed zgłoszeniem luki i zawsze działanie zgodnie z jej postanowieniami.
Serdecznie doceniamy osoby, które poświęcają swój czas i wysiłki na odpowiedzialne ujawnianie luk w bezpieczeństwie zgodnie z tą polityką. Doceniamy badaczy, którzy wspomagają nas w naszych działaniach na rzecz bezpieczeństwa i z góry dziękujemy za Twoje zgłoszenie oraz rozwagę.
Twoje testy nie mogą naruszać żadnego prawa ani zakłócać lub kompromitować jakichkolwiek danych, które nie są Twoje. Jeśli znajdziesz potencjalną lukę, która umożliwia dostęp do zastrzeżonych danych lub zasobów, powinieneś natychmiast nas o tym poinformować — nie kontynuuj samodzielnego badania luki.
Zakres
Ta polityka dotyczy następującej domeny: https://worksection.com/
Wskazówki
Chociaż mocno zachęcamy do odpowiedzialnego odkrywania i zgłaszania luk, pewne działania są surowo zabronione. Prosimy unikać angażowania się w następujące aktywności:
- Wykonywania działań, które mogą mieć negatywny wpływ na Firmę lub jej użytkowników, takich jak spamowanie, przeprowadzanie ataków brute force czy uruchamianie ataków Denial of Service. Podobnie unikaj wszelkich testów, które mogą zakłócić dostęp do systemu lub spowodować uszkodzenie danych.
- Dostępu lub próby dostępu do jakichkolwiek danych lub informacji, które do Ciebie nie należą. Ważne jest, aby respektować granice autoryzowanego dostępu.
- Niszcząc, psując lub próbując zniszczyć lub popsuć jakiekolwiek dane lub informacje, które do Ciebie nie należą. Zachowaj integralność i poufność danych.
- Używania intensywnych narzędzi skanujących, które są inwazyjne lub destrukcyjne w celu identyfikacji luk. Takie narzędzia nie powinny być stosowane, ponieważ mogą spowodować nieuzasadnione zakłócenia.
- Angażowania się w testy fizyczne, w tym próby dostępu do biura, wykorzystywanie otwartych drzwi lub “tailgating”. Techniki inżynierii społecznej, takie jak phishing czy vishing, również są zabronione. Skoncentruj się tylko na technicznym testowaniu luk.
- Przeprowadzania działań inżynierii społecznej skierowanych do członków zespołu Firmy, kontrahentów lub użytkowników. Szanuj prywatność i zaufanie osób związanych z naszą organizacją.
- Naruszania jakichkolwiek przepisów prawnych lub łamania umów w poszukiwaniu luk. Przestrzegaj granic prawnych i etycznych przez cały proces.
Przestrzegając tych wytycznych, zapewniasz, że Twoje działania w zakresie odkrywania luk są prowadzone w odpowiedzialny i zgodny z prawem sposób.
Wyłączenia z zakresu
Następujące odkrycia są szczególnie niewłaściwe do nagrody w ramach tego programu:
- Ujawnienie znanych publicznych plików lub katalogów (np. robots.txt)
- Clickjacking i niektóre problemy, które można wykorzystać tylko przez clickjacking
- Logout Cross-Site Request Forgery (logout CSRF)
- Słaby captcha
- Brak flag Secure i HTTPOnly cookies
- Źle skonfigurowane lub brak rekordów SPF/DKIM
- Brak najlepszych praktyk SSL/TLS
- Wrażliwości DDoS
- Brakujące nagłówki bezpieczeństwa HTTP, np.: Strict-Transport-Security, X‑Frame-Options, X‑XSS-Protection, X‑Content-Type-Options, Content-Security-Policy, X‑Content-Security-Policy, X‑WebKit-CSP, Content-Security-Policy-Report-Only
- Przestarzałe wersje oprogramowania
- Wrażliwości dotykające użytkowników przestarzałych przeglądarek lub platform
- Inżynieria społeczna, phishing, działania fizyczne lub inne oszustwa
- Self-XSS, które nie mogą być użyte do wykorzystania innych użytkowników
- Wrażliwości w komponentach zewnętrznych
- Błędy wymagające skrajnie mało prawdopodobnej interakcji użytkownika
- Problemy z podrabianiem treści i wstrzykiwaniem tekstu bez rzeczywistego wektora ataku i/lub bez możliwości modyfikacji HTML
- Przejęcie subdomeny bez dowodu koncepcji
- Szafowanie domeną lub jakiekolwiek inne spekulacje dotyczące domen
- Wrażliwości, które wymagają fizycznego dostępu do urządzenia użytkownika
- Raporty o wrażliwościach generowane przez skanery lub inne automatyczne lub aktywne narzędzia exploitacyjne
- Wrażliwości związane z aktywną zawartością, taką jak dodatki do przeglądarki internetowej
- Odmowa usługi (DoS/DDoS) i spamowanie (SMS, e‑mail itp.)
- Większość problemów z bruteforce bez wyraźnego wpływu
- Publicznie dostępne panele logowania bez dowodu wykorzystania
- Ujawnienie publicznych informacji o użytkownikach, jak również informacji niepoufnych i umiarkowanie wrażliwych
Zgłaszanie wrażliwości
Jeśli odkryłeś potencjalną lukę w bezpieczeństwie na naszej platformie, uprzejmie prosimy o zgłoszenie jej bezpośrednio do zespołu bezpieczeństwa Firmy za pośrednictwem e‑maila na adres security@worksection.ua. Dzięki temu Twoje zgłoszenie dotrze do nas niezwłocznie, co umożliwi nam skuteczniejszą reakcję. Prosimy unikać wysyłania zgłoszenia na nasz ogólny adres e‑mail lub za pośrednictwem czatu wsparcia.
Aby zachować poufność luki, prosimy o unikanie składania publicznego zgłoszenia lub omawiania go na platformach mediów społecznościowych, takich jak Twitter czy GitHub. Doceniamy Twoją współpracę w utrzymaniu komunikacji dotyczącej luki w tajemnicy między Tobą a naszym zespołem. Prosimy o nieudostępnianie swoich raportów ani żadnych dowodów innym użytkownikom lub firmom.
Podczas zgłaszania raportu o wrażliwości, prosimy upewnić się, że zawiera on następujące istotne informacje:
- Czuty i istotny tytuł. Podaj zwięzły i opisowy tytuł, który dokładnie odzwierciedla charakter wrażliwości.
- Dotknięta usługa/API. Wyraźnie wskaż konkretną usługę lub API, które są dotknięte luką. Pomaga nam to szybko zrozumieć zakres problemu.
- Szczegóły wrażliwości i wpływ. Dokładnie wyjaśnij lukę, w tym jej szczegóły techniczne i potencjalny wpływ na nasze systemy lub użytkowników. Podaj wystarczające informacje, abyśmy mogli zrozumieć charakter i powagę luki.
- Kroki do reprodukcji / Dowód koncepcji. Dołącz szczegółowe instrukcje dotyczące tego, jak powtórzyć lukę, najlepiej połączone z Dowodem koncepcji (PoC). PoC może być w różnych formach, takich jak film demonstracyjny, zrzuty ekranu z narzędzi takich jak Burp Suite, komendy curl lub odpowiednie fragmenty kodu. Te materiały pomagają nam lepiej zweryfikować i zrozumieć lukę.
- Jakiekolwiek inne ważne szczegóły. Zachęcamy do dołączenia wszelkich dodatkowych informacji, które uważasz za istotne lub pomocne w zrozumieniu luki. Może to obejmować konfiguracje systemu, odpowiednie logi lub jakąkolwiek inną dokumentację wspierającą, która może pomóc w procesie rozwiązania.
Poprzez dostarczenie wszechstronnego raportu, który zawiera te elementy, znacznie ułatwiasz nam efektywne ocenianie i adresowanie zgłoszonej wrażliwości.
Co się dzieje po zgłoszeniu wrażliwości
Po złożeniu swojego raportu, przeanalizujemy go pod kątem wpływu, powagi i złożoności wykorzystania. Jeśli uznamy to za istotne, skontaktujemy się z Tobą w ciągu piętnastu (15) dni roboczych. Będziemy informować Cię o naszych postępach.
Gdy zgłoszona luka zostanie naprawiona, powiadomimy Cię i możesz zostać zaproszony do potwierdzenia, że rozwiązanie odpowiednio pokrywa lukę. Z przyjemnością przyjmujemy prośby o ujawnienie Twojego raportu, gdy Twoja luka została rozwiązana. Prosimy jednak o powstrzymanie się od dzielenia się informacjami o odkrytych lukach przez 90 dni kalendarzowych po otrzymaniu naszego potwierdzenia odbioru Twojego raportu.
Nagrody
Zazwyczaj nie oferujemy żadnych nagród pieniężnych za zgłoszenia. Jednak możemy zrobić wyjątek w przypadku ważnych krytycznych błędów i raportów wysokiej jakości. Kwota nagrody zostanie określona na podstawie maksymalnego wpływu wrażliwości. Raporty, które są dobrze napisane i uznawane za przydatne, mają większe szanse na otrzymanie nagrody.
Prosimy zauważyć, że tylko pierwsza osoba zgłaszająca wcześniej nieznaną lukę będzie kwalifikować się do nagrody.