Політика розкриття вразливостей. Worksection - управління проектами, планування, комунікація та звіти

Політика розкриття вразливостей

Вступ

Ця Політика розкриття вразливостей (ПРВ) застосовується до будь-яких вразливостей, про які ви розглядаєте можливість повідомити компанії Worksection. Будь ласка, повністю прочитайте цю ПРВ перед тим, як повідомляти про вразливість, і завжди дійте відповідно до неї.

Ми високо цінуємо осіб, які присвячують свій час та зусилля відповідальному розкриттю вразливостей безпеки відповідно до цієї політики. Ми вдячні дослідникам, які допомагають нам у наших зусиллях з безпеки, і заздалегідь висловлюємо нашу подяку за ваші подання та розсудливість.

Ваше тестування не повинно порушувати жодних законів або порушувати чи компрометувати будь-які дані, які вам не належать. Якщо ви знайшли потенційну вразливість, яка дозволяє доступ до обмежених даних або ресурсів, ви повинні повідомити нас негайно — не продовжуйте самостійно досліджувати вразливість.

Сфера застосування

Ця політика застосовується до наступного домену: https://worksection.com/

Керівні принципи

Хоча ми наполегливо заохочуємо відповідальне виявлення та повідомлення про вразливості, певні дії суворо заборонені. Будь ласка, утримайтеся від наступних видів діяльності:

Виконання дій, які можуть негативно вплинути на Компанію або її користувачів, таких як спам, проведення атак методом грубої сили або запуск атак типу «відмова в обслуговуванні». Аналогічно, уникайте будь-яких тестів, які можуть порушити доступ до системи або завдати шкоди даним.
Доступ або спроба доступу до будь-яких даних або інформації, які вам не належать. Важливо поважати межі авторизованого доступу.
Знищення, пошкодження або спроба знищення чи пошкодження будь-яких даних або інформації, які вам не належать. Захищайте цілісність і конфіденційність даних.
Використання високоінтенсивних інвазивних або деструктивних інструментів сканування з метою виявлення вразливостей. Такі інструменти не слід використовувати, оскільки вони можуть спричинити непотрібні збої.
Проведення фізичного тестування, включаючи спроби доступу до офісу, використання відчинених дверей або підслідування. Техніки соціальної інженерії, такі як фішинг або вішинг, також заборонені. Зосереджуйтеся виключно на технічному тестуванні вразливостей.
Проведення діяльності з соціальної інженерії, спрямованої на членів команди, підрядників або користувачів Компанії. Поважайте приватність і довіру осіб, пов’язаних з нашою організацією.
Порушення будь-яких законів або угод у вашому прагненні виявити вразливості. Дотримуйтеся правових та етичних меж протягом усього процесу.

Дотримуючись цих керівних принципів, ви забезпечуєте, що ваша діяльність з виявлення вразливостей проводиться відповідально та законно.

Виключення зі сфери застосування

Наступні знахідки спеціально не підлягають винагороді в рамках цієї програми:

Розкриття відомих публічних файлів або директорій (наприклад, robots.txt)
Клікджекінг та певні проблеми, які можна експлуатувати тільки через клікджекінг
Cross-Site Request Forgery при виході з системи (logout CSRF)
Слабка капча
Відсутність прапорів Secure та HTTPOnly для cookies
Неправильно налаштовані або відсутні записи SPF/DKIM
Відсутність найкращих практик SSL/TLS
Вразливості DDoS
Відсутні HTTP заголовки безпеки, наприклад: Strict-Transport-Security, X‑Frame-Options, X‑XSS-Protection, X‑Content-Type-Options, Content-Security-Policy, X‑Content-Security-Policy, X‑WebKit-CSP, Content-Security-Policy-Report-Only
Застарілі версії програмного забезпечення
Вразливості, що впливають на користувачів застарілих браузерів або платформ
Соціальна інженерія, фішинг, фізичні або інші шахрайські діяльності
Self-XSS, яку неможливо використати для експлуатації інших користувачів
Вразливості в сторонніх компонентах
Помилки, які потребують надзвичайно малоймовірної взаємодії з користувачем
Проблеми підміни контенту та ін’єкції тексту без реального вектора атаки та/або без можливості модифікації HTML
Захоплення субдомену без доказу концепції
Доменний сквоттинг або будь-які інші доменні спекуляції
Вразливості, які потребують фізичного доступу до пристрою користувача
Звіти про вразливості, згенеровані сканерами або будь-якими автоматизованими або активними інструментами експлуатації
Вразливості, пов’язані з активним контентом, такими як додатки веб-браузера
Відмова в обслуговуванні (DoS/DDoS) та спам (SMS, email тощо)
Більшість проблем методу грубої сили без чіткого впливу
Публічно доступні панелі входу без доказу експлуатації
Розкриття публічної інформації про користувачів, а також несенситивної та помірно сенситивної інформації

Повідомлення про вразливість

Якщо ви виявили потенційну вразливість безпеки на нашій платформі, ми люб’язно просимо вас повідомити про неї безпосередньо команді безпеки Компанії через електронну пошту за адресою security@worksection.ua. Це забезпечує, що ваш звіт дійде до нас оперативно, дозволяючи нам відповісти більш ефективно. Будь ласка, утримайтеся від надсилання звіту на нашу загальну електронну адресу або через чат підтримки.

Для збереження конфіденційності вразливості ми просимо вас уникати подання публічної проблеми або обговорення її на платформах соціальних мереж, таких як Twitter або GitHub. Ми цінуємо вашу співпрацю в збереженні конфіденційності спілкування щодо вразливості між вами та нашою командою. Будь ласка, утримайтеся від поділу своїх звітів або будь-яких доказів з іншими користувачами або компаніями.

При подачі звіту про вразливість, будь ласка, переконайтеся, що він включає наступну важливу інформацію:

Зрозумілий та релевантний заголовок. Надайте стислий та описовий заголовок, який точно відображає природу вразливості.
Уражений сервіс/API. Чітко вкажіть конкретний сервіс або API, який уражений вразливістю. Це допомагає нам швидко зрозуміти масштаб проблеми.
Деталі вразливості та вплив. Ретельно поясніть вразливість, включаючи її технічні деталі та потенційний вплив на наші системи або користувачів. Надайте достатньо інформації, щоб допомогти нам зрозуміти природу та серйозність вразливості.
Кроки для відтворення / доказ концепції. Включіть детальні інструкції про те, як відтворити вразливість, бажано з доказом концепції (PoC). PoC може бути в різних формах, таких як відео демонстрація, скріншоти з інструментів, як Burp Suite, команди curl або відповідні фрагменти коду. Ці матеріали допомагають нам краще перевірити та зрозуміти вразливість.
Будь-які інші важливі деталі. Не соромтеся включити будь-яку додаткову інформацію, яка, на вашу думку, є релевантною або корисною для нашого розуміння вразливості. Це може включати конфігурації системи, відповідні логи або будь-яку іншу підтримуючу документацію, яка може допомогти в процесі вирішення.

Надаючи всебічний звіт, який включає ці елементи, ви значно допомагаєте нам ефективно оцінити та вирішити повідомлену вразливість.

Що відбувається після повідомлення про вразливість

Після того, як ви подали свій звіт, ми проаналізуємо його з точки зору впливу, серйозності та складності експлуатації. Якщо ми вважаємо це релевантним, ми відповімо вам протягом п’ятнадцяти (15) робочих днів. Ми будемо тримати вас в курсі нашого прогресу.

Після усунення повідомленої вразливості ми повідомимо вас, і вас можуть запросити підтвердити, що рішення адекватно покриває вразливість. Ми вітаємо запити на розкриття вашого звіту після того, як ваша вразливість була вирішена. Однак, будь ласка, утримайтеся від поділу інформації про будь-які виявлені вразливості протягом 90 календарних днів після отримання нашого підтвердження про отримання вашого звіту.

Винагороди

Ми зазвичай не пропонуємо грошових винагород за подання. Однак ми можемо зробити виняток у випадку дійсних критичних помилок та високоякісних звітів. Сума винагороди буде визначена на основі максимального впливу вразливості. Добре написані звіти, які вважаються корисними, мають більші шанси бути розглянутими для винагороди.

Зверніть увагу, що тільки перша особа, яка повідомить про раніше невідому недолік, буде кваліфікуватися для винагороди.