Politica di segnalazione di vulnerabilità

Segnala vulnerabilità

Condividi privatamente i dettagli della potenziale vulnerabilità con Crowdin inviando una email a support@crowdin.com. Fornisci tutti i dettagli della potenziale vulnerabilità, in modo che il team di sicurezza di Crowdin verifichi e riproduca il problema.

Ringraziamenti

Per conto dei nostri migliaia di utenti, ringraziamo i ricercatori per aiutarci a rendere Crowdin più sicuro. Vedi hall of fame

Cosa stiamo cercando

Quando si presenta un problema, si prega di fornire una descrizione tecnica che ci permetta di valutare sfruttabilità e impatto del problema.

  • Fornire la procedura per riprodurre il problema, inclusi gli URL o il codice coinvolto.
  • Se stai segnalando uno scripting cross-site (XSS), il tuo sfruttamento dovrebbe almeno far apparire un avviso nel browser. È molto meglio se lo sfruttamento dell’XSS mostra il cookie di autenticazione dell’utente.
  • Per una richiesta di falsificazione del cross-site (CSRF), utilizzare un CSRF appropriato quando una terza parte fa sì che la vittima registrata esegua un’azione.
  • Per un’iniezione dell’SQL, vogliamo vedere l’exploit estrarre i dati del database, non solo produrre un messaggio di errore.
  • Anche le acquisizioni di richiesta/risposta HTTP o semplicemente le acquisizioni di pacchetti sono molto utili per noi.
  • Si prega di astenersi dall’inviare link a siti web non Crowdin, o problemi in file PDF/DOC/EXE. I file di immagine sono OK. Assicurarsi che il bug sia sfruttabile da qualcuno diverso dall’utente (ad esempio “self-XSS”).

Cosa non stiamo cercando

  • Messaggi di errore descrittivi (es. errori applicazione o server).
  • Codici/pagine HTTP 404 o altre pagine/codici HTTP non 200.
  • Banner informativo sui servizi comuni/pubblici.
  • Divulgazione di file o directory pubblici noti, (es. robots.txt).
  • Clickjacking e problemi sfruttabili solo tramite clickjacking.
  • CSRF su moduli che sono disponibili ad utenti anonimi (es. il modulo di contatto).
  • Disconnetti Cross-Site Request Forgery (disconnetti CSRF).
  • Presenza di funzionalità dell’applicazione o browser web ‘completamento automatico’ o ‘salva password’.
  • Mancanza di Sicurezza e segnalazione cookie solo HTTP.
  • Mancanza di Speedbump di Sicurezza quando si lascia il sito.
  • Captcha / Captcha Bypass Debole.
  • Numerazione nome utente tramite messaggio d’errore Pagina d’Accesso.
  • Numerazione nome utente tramite messaggio d’errore Password Dimenticata.
  • Pagina di Accesso o Password Dimenticata, forza bruta e blocco degli account non applicato.
  • Metodo OPZIONI / TRACCIA HTTP abilitato.
  • Attacchi SSL come attacco di Rinegoziazione, BEAST o BREACH.
  • Segretezza SSL Forward non abilitata.
  • Suite di cifratura Insicura SSL.
  • Le Opzioni di Tipo di Contenuto X dell’intestazione Anti-MIME-Sniffing.
  • Intestazioni di sicurezza HTTP mancanti, nello specifico.

Accordo di Segnalazione della Vulnerabilità

Sei pregato di revisionare questi termini prima che tu testi e/o segnali una vulnerabilità. Crowdin si impegna a non intraprendere azioni legali contro i ricercatori per la penetrazione o la penetrazione tentata dei nostri sistemi purché aderisca a questa politica.

Crowdin non permette i tipi seguenti di ricerca di sicurezza

Mentre ti incoraggiamo a scoprire e segnalarci ogni vulnerabilità che trovi in modo responsabile, la condotta seguente è proibita espressamente:

  • Praticare le azioni che potrebbero influenzare negativamente Crowdin o i suoi utenti.
  • Accedere, o tentare di accedere, ai dati o le informazioni che non ti appartengono.
  • Distruggere o corrompere, o tentare di distruggere o corrompere, i dati o le informazioni che non ti appartengono.
  • Condurre ogni tipo di attacco fisico o elettronico sui centri di dati o di proprietà o personali su Crowdin.
  • Ingegneria sociale su ogni banco dei servizi, impiegato o contribuente di Crowdin.
  • Conduci test di vulnerabilità dei servizi partecipanti usando ogni cosa esclusi i profili di test.
  • Violare ogni legge o qualsiasi accordo per scoprire le vulnerabilità.

Impegno del team di sicurezza di Crowdin

Ti chiediamo che tu non condivida o pubblicizzi una vulnerabilità irrisolta con/verso terze parti. Se invii responsabilmente una segnalazione di vulnerabilità, il team di sicurezza di Crowdin e le organizzazioni di sviluppo associate useranno sforzi ragionevoli per:

  • Rispondere in modo tempestivo, per ricezione della vostra segnalazione di vulnerabilità.
  • Fornisci una stima del tempo necessario per indirizzare la segnalazione della vulnerabilità.
  • Notificarti quando la vulnerabilità è stata risolta.
  • Siamo lieti di ringraziare ogni ricercatore individuale che invia una segnalazione di vulnerabilità aiutandoci a migliorare il nostro livello di sicurezza complessivo in Crowdin.

Si prega di notare che inviandoci una segnalazione di vulnerabilità, ci garantisci una perpetua, globale, irrevocabile e non esclusiva licenza ed il diritto di usare, modificare ed incorporare la tua iscrizione o ogni parte nei nostri prodotti, servizi o sistemi di test senza alcun ulteriore obbligo o avvisi.

Saremmo grati per ogni altra informazione tecnica rilevante che potresti avere, specialmente in caso di riproduzione difficile. Se non possiamo riprodurla, non possiamo premiarti. Comunque, non c’è bisogno di descrivere l’impatto di sicurezza delle tue rierche; comprendiamo i rischi di sicurezza e possiamo capirlo. Abbiamo solo bisogno di dettagli tecnici.

Premi

Manteniamo la flessibilità con il nostro sistema a premi; i premi sono basati sulla gravità, l’impatto ed il rapporto di qualità. Per esempio, possiamo fornirti un coupon per ottenere Crowdin Swag. In base a ciò che scopri, potresti andare nella Hall of Fame di Crowdin. Se preferiresti rimanere dietro un alias (manico) o anomino, ovviamente lo rispetteremo.

Abbiamo cose specifiche che stiamo (e non stiamo) cercando - dunque controlla Cosa stiamo cercando.

Se segnali molte questioni che sono duplicati in parti differenti del servizio (es. lo stesso codice su nodi o piattaforme differenti) o parte di una questione più grande, queste potrebbero essere combinata in una e solo un premio potrebbe essere possibile.

Se qualcun altro ha già segnalato precedentemente la scoperta, ti faremo sapere dopo che la questione è stata risolta. Se molti ricercatori segnalano lo stesso problema, premiamo solo il mittente della prima segnalazione che ci fornisce abbastanza dettagli per riprodurre la scoperta. Sappiamo che questo ci darà una scappatoia per rivendicare che tutto è stato già trovato precedentemente, ma fidati di noi, vogliamo essere onesti.

Un premio non sarà fornito se le scoperte divengono note da chiunque altro oltre che te o noi, in ogni modo, prima che sia risolto.

Puoi sempre tenere traccia di come sta progredendo la tua questione. Contatta il team di Sicurezza di Crowdin per farlo: support@crowdin.com