Biztonsági rés jelentési irányelv

Biztonsági rés jelentése

Privát módon ossza meg a feltételezett biztonsági rés részleteit, egy a Crowdin számára küldött e-mailben: support@crowdin.com. Adjon meg minden részletet a feltételezett biztonsági réssel kapcsolatban, hogy a Crowdin biztonsági csapat érvényesíthesse és reprodukálhassa a problémát.

Dicsőségfal

Több ezer felhasználónk nevében köszönjük a megnevezetteknek, hogy segítettek biztonságosabbá tenni a Crowdint. Dicsőségfal megtekintése

Amit keresünk

Amikor problémát küld be, kérjük, adjon olyan technikai leírást, amely lehetővé teszi számunkra, hogy felmérjük a sebezhetőséget és annak hatását.

  • Írja le a probléma reprodukálásához szükséges lépéseket, beleértve az URL-eket, vagy az érintett kódokat.
  • Ha egy XSS-t (cross-site scripting) szeretne jelenteni, az exploitnak legalább egy felugró figyelmeztetést kell megjelenítenie a böngészőben. Sokkal jobb, ha az XSS exploit felhasználói hitelesítéses sütit jelenít meg.
  • A CSRF-hez (cross-site request forgery), használjon megfelelő CSRF esetet, ha egy harmadik fél kényszeríti a regisztrált felhasználót egy művelet elvégzésére.
  • Az SQL-beszivárgás esetén, látnunk kell az adatok kinyerését az adatbázisból, nem csak egy hibaüzenetet.
  • HTTP kérés / válasz rögzítések, vagy egyszerű csomagrögzítések is nagyon hasznosak nekünk.
  • Kérjük, ne küldjenek nekünk linkeket nem Crowdin weboldalakhoz, vagy problémákat PDF / DOC / EXE fájlokban. Képfájlok rendben vannak. Ellenőrizze, hogy a hiba a felhasználótól eltérő személy számára is kihasználható (pl. “self-XSS”).

Amit nem keresünk

  • Leíró hibaüzenetek (pl. alkalmazás vagy szerver hibák).
  • HTTP 404 kód/oldal vagy más HTTP nem-200 kód/oldal.
  • Banner nyilvánosságra hozatala a közös/közérdekű szolgáltatásokról.
  • Ismert nyilvános fájlok vagy könyvtárak nyilvánosságra hozatala (pl. robots.txt).
  • Clickjacking és csak clickjacking-en keresztül kihasználható problémák.
  • A CSRF olyan űrlapokhoz, melyek a névtelen felhasználók számára is elérhető (pl. a kapcsolatfelvételi űrlap).
  • Kijelentkezési CSRF (Cross-Site Request Forgery).
  • Olyan alkalmazás vagy böngésző jelenléte, mely az “automatikus kiegészítés” vagy “jelszó mentése” funkciót tartalmazza.
  • Biztonság és HTTPOnly sütijelzők hiánya.
  • Biztonsági ellenőrzés hiánya az oldal elhagyásakor.
  • Gyenge captcha / Captcha megkerülése.
  • Felhasználónév felsorolás a bejelentkező oldal hibaüzenetének segítségével.
  • Felhasználónév felsorolás az elfelejtett jelszó hibaüzenetének segítségével.
  • Fiókzárolás feloldása, illetve a bejelentkezés vagy jelszó visszaállítása erővel (brute force).
  • BEÁLLÍTÁSOK / HTTP NYOMKÖVETÉS módszer engedélyezve.
  • SSL támadások, például “BEACH”, “BREACH”, vagy a renegociáció.
  • SSL titkosítás nincs engedélyezve.
  • SSL nem biztonságos titkosítási számsorok.
  • Az “X-Content-Type-Options”-ra reagáló “Anti-MIME-Sniffing” fejléc.
  • A HTTP biztonsági fejlécek hiányoznak, kifejezetten.

Biztonsági rés jelentési megállapodás

Kérjük, olvassa el ezeket a feltételeket, mielőtt tesztelne és/vagy jelentene egy biztonsági rést. A Crowdin vállalja, hogy nem kezdeményez jogi lépéseket azon kutatók ellen, akik behatolnak, vagy megpróbálnak behatolni rendszereinkbe, mindaddig, amíg azok betartják a következő előírásokat.

Crowdin nem engedélyezi a következő típusú biztonsági kutatásokat

Miközben azt javasoljuk, hogy felelős módon jelentsen felénk bármilyen felfedezett biztonsági rést, az alábbi magatartások kifejezetten tilosak:

  • Olyan műveletek végrehajtása, ami kedvezőtlen hatással lehet a Crowdin, vagy a felhasználók számára.
  • Elérni - vagy megpróbálni - olyan adatot vagy információt, amely nem Önhöz tartozik.
  • Tönkretenni, vagy megsemmisíteni - vagy megpróbálni - olyan adatot vagy információt, amely nem Önhöz tartozik.
  • Bármilyen fizikai vagy elektronikus támadás a Crowdin személyzete, vagyona, vagy adatközpontjai felé.
  • Bármely Crowdin szolgáltató, alkalmazott vagy vállalkozó személyes manipulálása.
  • A sérülékenység-vizsgálat lefolytatása az érintett szolgáltatásokra kizárólag tesztfiókok használatával.
  • A sérülékenység felfedezéséhez törvénysértő vagy megállapodást megsértő magatartás szükséges.

A Crowdin biztonsági csapatának kötelezettségvállalása

Arra kérjük, hogy semmilyen harmadik fél felé ne osszon meg, vagy ne hozzon nyilvánosságra egy megoldatlan biztonsági rést. Ha felelősen nyújt be egy sérülékenységi jelentést, a Crowdin biztonsági csapata, illetve a hozzá kapcsolódó fejlesztési szervezet mindent megtesz annak érdekében, hogy:

  • Időben válaszoljon, elismerve, hogy megkapta a biztonsági rés jelentést.
  • Egy becsült időkeretet adjon a biztonsági rés kezeléséről.
  • Értesítik, ha a biztonsági rés javítva lett.
  • Boldogok vagyunk, hogy köszönetet mondhatunk minden egyes kutatónak, aki sérülékenységet jelentett, így segítve a Crowdin általános biztonsági helyzetének fejlesztését.

Kérjük, vegye figyelembe, hogy a sérülékenységi jelentés benyújtásával, Ön a számunkra egy örökös, nemzetközi, jogdíjmentes, visszavonhatatlan, nem kizárólagos licencet és jogot adott hogy használhassuk, módosíthassuk, illetve beépíthessük a jelentését vagy annak bármely részét a termékünkbe, a szolgáltatásunkba, vagy a vizsgálati rendszerünkbe anélkül, hogy bármilyen további kötelezettségünk, illetve tájékoztatási felelősségünk lenne Ön felé.

Hálásak vagyunk minden további releváns műszaki információért, különösen, ha a reprodukálás trükkös. Ha nem tudjuk reprodukálni, akkor nem is jutalmazhatjuk. Ugyanakkor nincs szükség a biztonságra gyakorolt hatás leírására - értjük a biztonsági kockázatokat, ezért ezt ki tudjuk találni. Csak technikai részletek kellenek nekünk.

Jutalmak

Rugalmasan kezeljük a jutalmazási rendszerünket, így nincs minimális/maximális összeg; a jutalmak a súlyosság, a hatás és a jelentés minőségétől függnek. Például, egy kedvezménykuponnal is jutalmazhatjuk Önt, hogy megszerezze a Crowdin csomagot. Attól függően, hogy mit fedez fel, felkerülhet a Crowdin Dicsőségfalára. Ha inkább egy álnév (azonosító) mögött, vagy névtelen maradna, mi természetesen tiszteletben tartjuk azt.

Konkrét dolgok vannak, amiket keresünk (és amiket nem) - ellenőrizze: Mit keresünk.

Ha számos olyan problémát jelent, mely a szolgáltatás különböző részein ismétlődik (pl. ugyanaz a kód fut különböző csomópontokon vagy platformokon), vagy része egy nagyobb problémának, ezeket egy problémává egyesíthetjük, így csak egy jutalom kapható.

Ha valaki a találatot korábban jelentette, a probléma javítása után értesíteni fogjuk Önt. Ha több kutató ugyanazt a problémát jelenti, csak az első olyan beküldött jelentést jutalmazzuk, amely elég technikai részletet biztosított ahhoz, hogy reprodukáljuk a megállapítást. Tudjuk, hogy ez egy kiskaput ad nekünk ahhoz, hogy azt állíthassuk, hogy valaki már korábban megtalálta, de higgye el, tisztességesek leszünk.

A jutalom nem kerül kifizetésre, ha a találat ismertté válik bárki más számára, mint Ön vagy mi, bármilyen módon, mielőtt az javításra kerülne.

Mindig nyomon követheti a problémával kapcsolatos előrehaladást. Ehhez vegye fel a kapcsolatot a Crowdin biztonsági csapatával: support@crowdin.com