Politica de divulgare a vulnerabilităților
Intro
Această Politică de Difuzare a Vulnerabilităților (VDP) se aplică oricăror vulnerabilități pe care le considerați demne de raportare către Worksection. Vă rugăm să citiți această VDP în întregime înainte de a raporta o vulnerabilitate și să acționați întotdeauna în conformitate cu aceasta.
Apreciem foarte mult persoanele care își dedică timpul și eforturile pentru a dezvălui în mod responsabil vulnerabilitățile de securitate în conformitate cu această politică. Apreciem cercetătorii care né ajută în eforturile noastre de securitate și le mulțumim anticipat pentru trimiterea și discreția dumneavoastră.
Testarea dumneavoastră nu trebuie să încalce nicio lege și să nu perturbe sau compromită datele care nu vă aparțin. Dacă descoperiți o vulnerabilitate potențială care permite accesul la date sau resurse restricționate, ar trebui să né anunțați imediat — nu continuați să investigați vulnerabilitatea singuri.
Domeniu de aplicare
Această politică se aplică domeniului următor: https://worksection.com/
Orientare
Deși încurajăm foarte mult descoperirea responsabilă și raportarea vulnerabilităților, anumite acțiuni sunt strict interzise. Vă rugăm să evitați angajarea în următoarele activități:
- Executarea acțiunilor care ar putea avea un impact negativ asupra Companiei sau utilizatorilor săi, cum ar fi spamul, efectuarea atacurilor brute-force sau lansarea atacurilor Denial of Service. De asemenea, evitați orice teste care ar putea afecta accesul la sistem sau cauza daune datelor.
- Accesarea sau încercarea de a accesa orice date sau informații care nu vă aparțin. Este important să respectați limitele accesului autorizat.
- Distrugerea, coruperea, sau încercarea de a distruge sau corupe orice date sau informații care nu vă aparțin. Protejați integritatea și confidențialitatea datelor.
- Utilizarea unor instrumente de scanare invazive sau destructive de mare intensitate în scopul identificării vulnerabilităților. Astfel de instrumente nu ar trebui utilizate deoarece pot cauza perturbații neîntemeiate.
- Angajarea în teste fizice, inclusiv încercarea de acces la birou, exploatarea ușilor deschise sau urmărirea altor persoane. Tehnicile de inginerie socială, cum ar fi phishingul sau vishingul, sunt de asemenea interzise. Concentrați-vă exclusiv pe testarea tehnică a vulnerabilităților.
- Colectarea de activități de inginerie socială care vizează membrii echipei Companiei, contractorii sau utilizatorii. Respectați intimitatea și încrederea persoanelor asociate organizației noastre.
- Încalcarea oricăror legi sau violarea acordurilor în căutarea descoperirii vulnerabilităților. Respectați limitele legale și etice pe parcursul procesului.
Prin respectarea acestor orientări, vă asigurați că activitățile dumneavoastră de descoperire a vulnerabilităților sunt efectuate într‑o manieră responsabilă și legală.
Excluzii din domeniul de aplicare
Următoarele constatări sunt specific nepremiabile în cadrul acestui program:
- Difuzarea fișierelor sau directorilor publici cunoscuți (de exemplu, robots.txt)
- Clickjacking și anume probleme exploatabile doar prin clickjacking
- Logout Cross-Site Request Forgery (logout CSRF)
- Captcha slab
- Lipsa flagurilor Secure și HTTPOnly pentru cookie-uri
- Configurarea greșită sau lipsa înregistrărilor SPF/DKIM
- Lipsa celor mai bune practici SSL/TLS
- Vulnerabilități DDoS
- Header‑e de securitate HTTP lipsă, de exemplu: Strict-Transport-Security, X‑Frame-Options, X‑XSS-Protection, X‑Content-Type-Options, Content-Security-Policy, X‑Content-Security-Policy, X‑WebKit-CSP, Content-Security-Policy-Report-Only
- Versiuni de software învechite
- Vulnerabilități care afectează utilizatorii de browsere sau platforme învechite
- Activități de inginerie socială, phishing, fizice sau alte activități frauduloase
- Self-XSS care nu pot fi utilizate pentru a exploata alți utilizatori
- Vulnerabilități în componente terțe
- Erori care necesită o interacțiune extrem de improbabilă cu utilizatorul
- Probleme de spoofing a conținutului și injecție de text fără un vector real de atac și/sau fără a putea modifica HTML
- Preluarea subdomeniilor fără dovada conceptului
- Dominarea domeniului sau alte speculații de domeniu
- Vulnerabilități care necesită acces fizic la dispozitivul unui utilizator
- Raporturi de vulnerabilitate generate de scanere sau orice instrumente de exploatare automate sau active
- Vulnerabilități legate de conținutul activ, cum ar fi add-on-urile pentru browsere web
- Denial of service (DoS/DDoS) și spam (SMS, email etc.)
- Cele mai multe probleme de brute-forcing fără un impact clar
- Pannourile de login accesibile public fără dovada exploatării
- Difuzarea informațiilor publice despre utilizatori, precum și informații nesensibile și moderate sensibilități
Raportarea unei vulnerabilități
Dacă ați descoperit o potențială vulnerabilitate de securitate pe platforma noastră, vă rugăm să o raportați direct echipei de securitate a Companiei prin e‑mail la security@worksection.ua. Acest lucru asigură că raportul dumneavoastră ajunge prompt la noi, permițându-né să răspundem mai eficient. Vă rugăm să evitați trimiterea raportului la adresa noastră generală de e‑mail sau prin chat-ul de suport.
Pentru a menține confidențialitatea vulnerabilității, vă rugăm să evitați depunerea unei probleme publice sau discutarea acesteia pe platforme de socializare precum Twitter sau GitHub. Apreciem cooperarea dumneavoastră în menținerea comunicării privind vulnerabilitatea confidențială între dumneavoastră și echipa noastră. Vă rugăm să nu împărtășiți raporturile sau orice dovezi cu alți utilizatori sau companii.
Atunci când trimiteți un raport de vulnerabilitate, vă rugăm să vă asigurați că acesta include următoarele informații esențiale:
- Titlu clar și relevant. Oferiți un titlu concis și descriptiv care reflectă exact natura vulnerabilității.
- Serviciul/API afectat. Indicați clar serviciul sau API-ul specific afectat de vulnerabilitate. Acest lucru né ajută să înțelegem rapid domeniul problemei.
- Detalii despre vulnerabilitate și impact. Explicați în detaliu vulnerabilitatea, inclusiv detaliile tehnice și impactul potențial asupra sistemelor sau utilizatorilor noștri. Oferiți suficiente informații pentru a né ajuta să înțelegem natura și severitatea vulnerabilității.
- Pași pentru reproducere / Dovada conceptului. Includeți instrucțiuni detaliate despre cum să reproduceți vulnerabilitatea, de preferință însoțite de o dovadă a conceptului (PoC). PoC-ul poate fi sub diferite forme, cum ar fi o demonstrație video, capturi de ecran din instrumente precum Burp Suite, comenzi curl sau fragmente de cod relevante. Aceste materiale né ajută să verificăm și să înțelegem mai bine vulnerabilitatea.
- Orice alte detalii importante. Nu ezitați să includeți orice informații suplimentare pe care le considerați relevante sau utile pentru înțelegerea vulnerabilității noastre. Acest lucru poate include configurații de sistem, log-uri relevante sau orice altă documentație de suport care poate ajuta în procesul de rezolvare.
Prin furnizarea unui raport cuprinzător care include aceste elemente, né ajutați foarte mult în evaluarea și abordarea eficientă a vulnerabilității raportate.
Ce se întâmplă după raportarea unei vulnerabilități
După ce ați trimis raportul dumneavoastră, îl vom analiza în termeni de impact, severitate și complexitate de exploatare. Dacă considerăm că este relevant, vom răspunde în termen de cincisprezece (15) zile lucrătoare. Vă vom ține la curent cu progresul nostru.
Odată ce vulnerabilitatea raportată este remediată, vă vom notifica și este posibil să fiți invitat să confirmați că soluția acoperă adecvat vulnerabilitatea. Apreciem cererile de a dezvălui raportul dvs. odată ce vulnerabilitatea a fost rezolvată. Cu toate acestea, vă rugăm să evitați împărtășirea informațiilor despre orice vulnerabilități descoperite timp de 90 de zile calendaristice după primirea confirmării primirii raportului dumneavoastră.
Recompense
De obicei, nu oferim recompense în bani pentru trimiteri. Cu toate acestea, s‑ar putea să facem o excepție în cazul unor erori critice valide și rapoarte de înaltă calitate. Suma recompensei va fi determinată în funcție de impactul maxim al vulnerabilității. Rapoartele care sunt bine redactate și considerate utile au o șansă mai mare de a fi luate în considerare pentru o recompensă.
Vă rugăm să rețineți că doar prima persoană care raportează o deficiență necunoscută anterior va califica pentru o recompensă.