Politik for indrapportering af sårbarhed

Indrapportér sårbarhed

Del privat oplysninger om den formodede sårbarhed med Crowdin ved at sende en e-mail til support@crowdin.com. Giv alle oplysninger om den formodede sårbarhed, så Crowdins sikkerhedsteam kan validere og genskabe problemet.

Anerkendelser

På vegne af vores tusindvis af brugere, takker vi de navngivne efterforskere for at hjælpe med at gøre Crowdin sikrere. Se Hall of Fame

Dét leder vi efter

Ved anmeldelse af en problematik, bedes du give en teknisk beskrivelse, der tillader os at vurdere udnyttelsesgrad og konsekvens af problematikken.

  • Angive trin til reproduktion af problemet herunder involverede URL’er eller kode.
  • Hvis du indrapporterer cross-site scripting (XSS), bør din sårbarhed som minimum vise en advarsel i browseren. Det er langt bedre, hvis XSS-sårbarheden viser brugerens autentificerings-cookie.
  • Vedr. et cross-site request forgery (CSRF), skal du benytte et egnet CSRF tilfælde, når en tredjepart får et indlogget offer til at udføre en handling.
  • For en SQL-injektion ønsker vi at se sårbarheden udtrække databasedata, ikke blot generere en fejlmeddelelse.
  • Opfangelse af HTTP-forespørgsler/-svar, eller blot pakke-opfangelse, er også meget nyttige for os.
  • Undlade at sende os links til ikke-Crowdin websteder, eller problematikker i PDF-/DOC- eller EXE-filer. Billedfiler er OK. Sørg for, at fejlen udnyttes af andre end brugeren selv (f.eks. “selv-XSS”).

Dét leder vi ikke efter

  • Beskrivende fejlmeddelelser (f.eks program- eller serverfejl).
  • HTTP 404-koder/sider eller andre HTTP ikke-200-koder/sider.
  • Banneroffentliggørelse på fælles/offentlige tjenester.
  • Videregivelse af kendte offentlige filer eller mapper, (f.eks. robotter.txt).
  • Clickjacking og problematikker, som kun kan udnyttes via clickjacking.
  • CSRF i formularer, som er tilgængelige for anonyme brugere (f.eks. kontaktformularen).
  • Log ud-Cross-Site Request Forgery (log ud-CSRF).
  • Tilstedeværelsen af app eller en web-browser “autofuldførelse” eller “Gem adgangskode” funktionalitet.
  • Mangel på Sikre og kun-HTTP cookie-flag.
  • Mangel på Security Speedbump, når de forlader webstedet.
  • Svage Captcha/forbigåelse af Captcha.
  • Brugernavnoptælling via Login-side fejlmeddelelse.
  • Brugernavnoptælling via Glemt adgangskode-side fejlmeddelelse.
  • Log ind- eller Glemt adgangskode-side brute force og kontospærring ikke håndhævet.
  • VALG/SPORING af HTTP metode aktiveret.
  • SSL-angreb såsom BEAST, BRUD, Genforhandlingsangreb.
  • SSL-viderestillingshemmelighed ikke er aktiveret.
  • SSL usikre krypterings suites.
  • Anti-MIME-Sniffing-header X-Content-Type-Muligheder.
  • Manglende specifikke HTTP-sikkerhedsheadere.

Sårbarhedsrapporteringsaftale

Læs venligst disse betingelser før du tester og/eller rapporterer en sårbarhed. Crowdin lover ikke at tage retslige skridt mod efterforskere for at penetrerer, eller forsøge at penetrere, vores systemer, så længe de overholder denne politik.

Crowdin tillader ikke følgende typer af sikkerhedsefterforskning

Selv om vi opfordre dig til at afdække og rapportere eventuelle sårbarheder, du finder, til os på en ansvarlig måde, er følgende adfærd udtrykkeligt forbudt:

  • Udføre handlinger, som kan påvirke Crowdin eller dets brugere negativt.
  • Tilgå, eller forsøge at få tilgå, data eller oplysninger, som ikke tilhører dig.
  • At ødelægge eller beskadige, eller forsøger at ødelægge eller beskadige, data eller oplysninger, som ikke tilhører dig.
  • At foretage nogen form for fysiske eller elektroniske angreb på Crowdin personale, ejendom eller datacentre.
  • Udføre social engineering mod nogen Crowdin-servicedesk, medarbejder eller kontrahent.
  • Udføre sårbarhedstests af deltagende tjenester vha. andet end testkonti.
  • Overtræder nogen love eller bryde nogen aftaler mhp. at afdække sårbarheder.

Crowdin-sikkerhedsteamets engagement

Vi beder dig om ikke at dele eller offentliggøre en uhåndteret sårbarhed med/til tredjemand. Hvis du ansvarsbevidst indsende en sårbarhedsrapport, vil Crowdins sikkerhedsteam og tilknyttede organisationer i rimelig grad bestræbe sig på at:

  • Bekræfter modtagelsen af din sårbarhedsrapport via et betimeligt svar.
  • Oplyse en anslået tidsramme for håndtering af sårbarhedsrapporten.
  • Notificere dig, når sårbarheden er blevet håndteret.
  • Vi er glade for at takke hver enkelt efterforsker, som indgiver en sårbarhedsrapport, der hjælper os med at forbedre vores generelle sikkerhedssituation hos Crowdin.

Bemærk venligst, at ved at indsende en sårbarhedsrapport til os tildeler du os en tidsubegrænset, verdensomspændende, royalty-fri, uigenkaldelig og ikke-eksklusiv licens og ret til at benytte, ændre og indarbejde din indsendelse, eller dele heraf, i vore produkter, tjenester eller testsystemer uden yderligere forpligtelser eller underretninger ift. dig.

Vi vil være taknemmelige for evt. yderligere relevante tekniske oplysninger, som du måtte besidde, især hvis reproduktion viser sig problematisk. Hvis vi ikke kan reproducere den, kan vi ikke kreditere dig. Der er dog ingen grund til at beskrive de sikkerhedsmæssige konsekvenser af din afdækning - vi forstår sikkerhedsrisici, og vi vil kunne løse dem. Vi behøver alene de tekniske detaljer.

Belønninger

Vi operere med et fleksibelt belønningssystem, og vi har ingen minimums-/maksimumsbeløb; belønningen er baseret på alvorlighed, virkning samt rapporteringskvalitet. For eksempel kan vi give dig en kupon til at få Crowdin-habengut. Afhængigt af din afdækning, kan du blive indlemmet i Crowdins Hall of Fame. Ønsker du at forblive bag et alias (handle), eller være anonym, respekteres dette naturligvis.

Vi har konkrete ting, som vi er (og ikke er) på udkig efter - så tjek Hvad er vi på udkig efter?.

Hvis du rapporterer flere problemer, som er dubletter i forskellige dele af tjenesten (f.eks. den samme kode, der kører på forskellige noder eller platforme), eller en del af en større problemstilling, vil disse kunne kombineres til én og kun én belønning som en konsekvens heraf.

Hvis en anden allerede har rapporteret fundet tidligere, vil vi lade dig det vide, når problemet er blevet håndteret. Hvis flere efterforskere indberette det samme problem, belønnes alene indsenderen af den første rapport, der giver os nok tekniske detaljer til at reproducere problemet. Vi ved, at dette ville give os et smuthul til at hævde, at alt er allerede tidligere blevet fundet, men tro os, ønsker vi at optræde fair.

En belønning, vil ikke blive udbetalt, hvis konklusionen på nogen måde bliver kendt af andre end dig og os, før det er rettet.

Du kan altid holde styr på, hvordan dit problem udvikler sig. Kontakt Crowdins sikkerhedsteam for dette: support@crowdin.com