Политика информирования об уязвимостях

Сообщение об уязвимости

В частном порядке поделитесь с Crowdin подробной информацией о предполагаемых уязвимостях, отправив письмо на support@crowdin.com. Предоставьте все подробности о предполагаемых уязвимостях, чтобы команда безопасности Crowdin смогла проверить и воспроизвести проблему.

Зал славы

От имени тысяч наших пользователей мы благодарим названных исследователей за помощь в улучшении безопасности Crowdin. Посмотреть зал славы

Что мы ищем

При отправке сообщения о проблеме, предоставьте, пожалуйста, техническое описание — это позволит нам оценить возможность злонамеренного использования и серьёзность этой проблемы.

  • Разъясните шаги для воспроизведения этой проблемы, в том числе любые URL-адреса или участки кода.
  • Если вы сообщаете о межсайтовых скриптах (XSS), ваш эксплойт должен хотя бы показывать всплывающее оповещение в браузере. Гораздо лучше, если XSS-эксплойт показывает аутентификационные cookie пользователя.
  • Относительно межсайтовых подделок запросов (CSRF) применяйте правильный подход CSRF для случая, когда третья сторона заставляет жертву, уже вошедшую в систему, выполнить какое-либо действие.
  • Касательно SQL-инъекции мы хотим видеть эксплойт, извлекающий данные из базы данных, а не просто выдающий сообщение об ошибке.
  • Сведения о возможностях перехвата запросов / ответов HTTP, или просто перехвате пакетов, также очень интересуют нас.
  • Пожалуйста, воздержитесь от отправки нам ссылок на веб-сайты (за исключением Crowdin) или файлов в форматах PDF / DОС / EXE с сообщениями о проблемах. Файлы изображений допустимы. Убедитесь, что ошибка может быть использована кем-то другим, кроме пользователя (например, “self-XSS”).

Что мы не ищем

  • Описательные сообщения об ошибках (например, ошибки приложения или сервера).
  • Коды/страницы HTTP 404 или другие коды/страницы HTTP с ответами не из 200 диапазона.
  • Раскрытие баннеров на общих/общественных сервисах.
  • Раскрытие известных публичных файлов или папок (например, robots.txt).
  • Clickjacking и проблемы, злонамеренное использование которых возможно только через clickjacking.
  • CSRF в формах, доступных для анонимных пользователей (например, форма обратной связи).
  • Подделка межсайтовых запросов при выходе из учётной записи (logout CSRF).
  • Присутствие функции ‘автозаполнения’ или ‘сохранения пароля’, добавляемой приложением или веб-браузером.
  • Отсутствие флагов Secure и HTTPOnly для cookie.
  • Отсутствие ограничения скорости в целях безопасности при покидании сайта.
  • Слабая Капча / Обход блокировки Капчи.
  • Перечисление имени пользователя через сообщение об ошибке на странице входа.
  • Перечисление имени пользователя через сообщение об ошибке при забытом пароле.
  • Несрабатывание принудительной временной блокировки учётной записи при прямом переборе на страницах входа или забытого пароля.
  • Включён метод OPTIONS / TRACE HTTP.
  • Атаки на SSL, такие как BEAST, BREACH, Renegotiation.
  • Прямая секретность SSL не включена.
  • Небезопасные наборы шифров протокола SSL.
  • Заголовок X-Content-Type-Options против MIME-Sniffing.
  • И, в частности, отсутствующие заголовки безопасности HTTP.

Соглашение информирования об уязвимости

Пожалуйста, ознакомьтесь с этими условиями перед проверкой и/или отправкой отчёта об уязвимости. Crowdin обязан не возбуждать судебные иски против исследователей для проникновения или попытки проникновения в наши системы пока они придерживаются такой политики.

Crowdin не допускает следующие типы исследований безопасности

В то время, как мы призываем Вас, чтобы обнаружить и сообщить нам какие-либо уязвимости в ответственности, но при этом категорически запрещается:

  • Выполнение действий, которые могут негативно повлиять на Crowdin, а также её пользователей.
  • Доступ или попытки доступа к данным или информации, вам не принадлежащей.
  • Уничтожение или искажение, либо попытки уничтожить или исказить данные или информацию, вам не принадлежащие.
  • Проведение любого вида физической или электронной атаки на сотрудников, собственность или центры обработки данных Crowdin.
  • Социальная инженерия в отношении любой службы поддержки, сотрудника или подрядчика Crowdin.
  • Проведение проверок задействованных служб на уязвимости с применением чего-либо, кроме тестовых учётных записей.
  • Нарушать любые законы или нарушение каких-либо соглашений с целью обнаружения уязвимостей.

Обязательства службы безопасности Crowdin

Мы просим Вас не делиться или распространять неразрешённые уязвимости третьим лицам. Если вы ответственно представляете доклад уязвимости, группа безопасности Crowdin и развитие ассоциированных организаций будет использовать разумные усилия для:

  • Отвечаем своевременно, подтверждая получения вашего сообщения об уязвимости.
  • Предоставляем предполагаемый срок для устранения уязвимости.
  • Уведомляем вас после того как уязвимось успешно устранена.
  • Мы рады поблагодарить каждого отдельного исследователя, который представит доклад об уязвимости помогает нам улучшить нашу общую безопасность пользователей Crowdin.

Обратите внимание, что отправляя нам сообщения об уязвимости, вы предоставляете нам бессрочную, всемирную, безвозмездную, безотзывную и неисключительную лицензию, а также право использовать, изменять и включать вашу заявку или любой ее части в наши продукты, услуги, или тест-системы без каких-либо дальнейших обязательств или уведомлений.

Мы будем благодарны за любую дополнительную соответствующую техническую информацию, которые у вас есть, особенно если воспроизведение проблеми сложно. Если мы не сможем её воспроизвести, мы не сможем вознаградить вас. Однако, нет необходимости описывать их влияния на безопасность вашего нахождения - мы понимаем риски безопасности, и мы можем это выяснить. Нам нужны только технические детали.

Награды

Мы сохраняем гибкость с нашей системой вознаграждения, и не имеем минимальной/максимальной суммы; вознаграждение основывается на тяжести, влияния и качество доклада. Например, мы можем предоставить вам купон, чтобы получить скидку Crowdin Swag. В зависимости от того, что вы обнаружите, мы можем разместить сообщения о вас в Зале славы. Если вы предпочитаете остаться анонимом, мы, конечно, это уважаем.

У нас есть конкретные вещи, которые мы ищем (и не очень) - так что проверте что мы ищем.

Если вы докладываете несколько вопросов, которые дублируют в разных местах (например, один и тот же код работает на разных узлах или платформ), или части более крупной проблемы, могут быть объединены в одну и только одну награду.

Если кто-то уже сообщал ранее, мы дадим вам знать после того, как проблема была устранена. Если ряд исследователей сообщают тот же вопрос, мы только вознаграждаем отправителю первый отчёт, который предоставляет нам достаточно технических подробностей для воспроизведения поиска. Мы знаем, что это даст нам лазейку, чтобы утвердить, что всё это было уже ранее установлено, но поверьте нам, мы хотим быть честными.

Вознаграждение не будет выплачиваться, если нахождение будет известно никому кроме вас или нас, в любом случае, прежде чем он фиксируется.

Вы всегда можете отслеживать, как продвигается ваш вопрос. Для этого свяжитесь с командой безопасности Crowdin: support@crowdin.com