Política de Relatórios de Vulnerabilidade

Reportar uma vulnerabilidade

Em particular, compartilhe detalhes da vulnerabilidade suspeita com Crowdin enviando um e-mail para support@crowdin.com. Fornecer informações completas sobre a suspeita de vulnerabilidade, de modo que a Crowdin equipe de segurança possa validar e reproduzir o problema.

Salão da fama

Em nome de nossos milhares de usuários, agradecemos os investigadores nomeados para ajudar fazer Crowdin mais seguro. Ver salão da fama

O que você está procurando

Ao apresentar um problema, por favor fornece uma descrição técnica que nos permite avaliar a capacidade de exploração e o impacto do problema.

  • Fornece etapas para reproduzir o problema, incluindo quaisquer URLs ou código envolvido.
  • Se você estiver relatando um script entre sites (XSS), sua exploração deverá, pelo menos, exibir um alerta no navegador. É muito melhor se o XSS explorar mostrar o cookie de autenticação do usuário.
  • Para uma falsificação de solicitação intersite (CSRF), use um bom caso CSRF quando um terceiro provoca o registrados na vítima para executar uma ação.
  • Para uma injeção de SQL, queremos ver e explorar, extrair dados do banco de dados, não apenas produzir uma mensagem de erro.
  • Solicitação HTTP / captura de resposta ou simplesmente captura de pacotes também é muito útel para nós.
  • Por favor, abster-se de enviar-nos os links para não-Crowdin web sites, ou problemas em PDF / DOC / arquivos EXE. Os arquivos de imagem são OK. Make sure the bug is exploitable by someone other than the user (e.g., “self-XSS”).

O que não estamos procurando

  • Descriptive error messages (e.g., application or server errors).
  • HTTP 404 códigos/páginas ou outros HTTP não-200 códigos/páginas.
  • Banner divulgação sobre os serviços públicos/comum.
  • Disclosure of known public files or directories, (e.g., robots.txt).
  • Clickjacking e questões só pode ser explorada através de clickjacking.
  • CSRF on forms that are available to anonymous users (e.g., the contact form).
  • Logout Cross-Site Request falsificação (logout CSRF).
  • Presença do navegador da web ou aplicativo ‘AutoCompletar’ ou ‘salvar senha’ funcionalidade.
  • Falta de segurança e HTTPOnly cookie bandeiras.
  • A falta de Segurança Proteção quando sair do site.
  • Captcha fraco / Captcha Bypass.
  • Enumeração de username através de mensagem de erro de página de Login.
  • Enumeração de username através de mensagem de erro de esqueceu a senha.
  • Login ou Esqueceu a Senha de página de força bruta e de bloqueio de conta não imposta.
  • OPÇÕES / TRAÇO método HTTP habilitado.
  • SSL de Ataques, tais como a BESTA, a VIOLAÇÃO, a Renegociação de ataque.
  • SSL de sigilo não habilitado.
  • Permitir Cifras inseguras.
  • O Anti-detecção de MIME cabeçalho X-Conteúdo-Tipo de Opções.
  • Falta de segurança HTTP cabeçalhos, especificamente.

Acordo de emissão dos relatórios de vulnerabilidade

Por favor, reveja estes termos antes de testar e/ou relatório de uma vulnerabilidade. Crowdin compromete-se a não iniciar ação legal contra os investigadores para penetrar ou tentar penetrar nossos sistemas desde que aderem a esta política.

Crowdin não permite os seguintes tipos de pesquisa de segurança

Enquanto nós encorajamos você a descobrir e relatar-nos quaisquer vulnerabilidades que você encontrar de forma responsável, a conduta a seguir é expressamente proibida:

  • Executar as ações que podem afetar negativamente a Crowdin ou seus usuários.
  • Acesso, ou a tentativa de acesso, dados ou informações que não pertence a você.
  • Destruir ou corromper ou tentar destruir ou corromper dados ou informações que não pertencem a você.
  • Centros de realização de qualquer tipo de ataque físico ou eletrônico na Crowdin pessoal, propriedade ou dados.
  • Engenharia social de qualquer serviço de atendimento, funcionário ou contratado da Crowdin.
  • Realizar testes de vulnerabilidade de serviços participantes usando nada além de contas de teste.
  • Violar quaisquer leis ou violar quaisquer acordos, a fim de descobrir vulnerabilidades.

O Crowdin equipe de segurança de compromisso

Pedimos para você não compartilhar ou divulgar uma vulnerabilidade não resolvida com o/a terceiros. Se você com responsabilidade de apresentar um relatório de vulnerabilidade, a equipe de segurança Crowdin e organizações de desenvolvimento associado usará esforços razoáveis para:

  • Responder em tempo hábil, confirmando o recebimento de sua vulnerabilidade.
  • Fornece uma estimativa de tempo para abordar o relatório de vulnerabilidade.
  • Notificá-lo quando a vulnerabilidade foi corrigida.
  • Estamos felizes de agradecer a cada pesquisador individual que apresente um relatório de vulnerabilidade nos ajudando a melhorar a nossa postura de segurança global no Crowdin.

Por favor, note que ao enviar-nos uma vulnerabilidade de relatório, você nos concede uma licença perpétua, mundial, isenta de royalties, irrevogável e não exclusivo de licença e direito de usar, modificar e incorporar a sua submissão, ou quaisquer partes dos mesmos, em nossos produtos, serviços ou sistemas de teste, sem quaisquer outras obrigações ou avisos para você.

Nós ficaremos grato por qualquer outra informações técnicas relevantes que você pode ter, especialmente se a reprodução for complicado. Se não podemos reproduzi-lo, nós não podemos recompensá-lo. No entanto, não há nenhuma necessidade para descrever o impacto na segurança do seu encontrando - nós entendemos os riscos de segurança e podemos descobrir isso. Só precisamos de detalhes técnicos.

Recompensas

Mantemos flexibilidade com nosso sistema de recompensa; as recompensas são baseadas na gravidade, impacto e qualidade do relatório. Por exemplo, nós podemos fornecer-lhe com um cupom para obter Crowdin Ganhos. Dependendo do que você descobrir, você pode ir para a Sala da fama do Crowlin. Se você prefere ficar atrás de um disfarce (identificador) ou anônimos, naturalmente vamos respeitar isso.

Temos específicas coisas que são (e não está), procurando - verifique o Que estamos procurando.

Se você relatar vários problemas que são duplicados em diferentes partes do serviço (ou seja, o mesmo código em execução em nas plataformas ingu ais ou diferentes), ou parte de um problema maior, estas podem ser combinadas em uma, e somente uma recompensa pode ser possível.

Se alguém já relatou a descoberta anterior, nós vamos deixar você saber depois que o problema foi corrigido. Se vários investigadores relatam o mesmo problema, só recompensamos o remetente do primeiro relatório que fornece-nos com bastante detalhes técnicos para reproduzir a conclusão. Sabemos que isto nos daria uma brecha para afirmar que tudo foi já anteriormente encontrado, mas confie em nós, queremos ser justo.

Uma recompensa não será fornecida se a descoberta for conhecida por alguém que não seja você ou nós, de qualquer forma, antes de ser corrigida.

Você sempre pode acompanhar o andamento de seu problema. Entre em contato com a equipe de segurança do Crowdin: support@crowdin.com