Güvenlik Açığı Bildirme İlkesi

Güvenlik Açığı Bildirme

Şüpheli güvenlik açığıyla ilgili ayrıntıları support@crowdin.com adresine bir e-posta göndererek Crowdin ile özel olarak paylaşın. Şüpheli güvenlik açığıyla ilgili tüm ayrıntıları sağlayın, böylece Crowdin güvenlik ekibi sorunu doğrulayabilir ve yeniden oluşturabilir.

Onur Listesi

Binlerce kullanıcı adına, adı geçen araştırmacılara Crowdin’i daha güvenli hale getirdikleri için teşekkür ediyoruz. Onur listesini görüntüle

Ne Arıyoruz

Bir sorun gönderirken, lütfen sorunun açıklardan yararlanılabilirliğini ve etkisini değerlendirmemizi sağlayan teknik bir açıklama yapın.

  • İlgili URL’ler veya kod dahil olmak üzere, sorunu yeniden oluşturmak için gereken adımları sağlayın.
  • Eğer siteler arası betik çalıştırma (XSS) bildiriyorsanız, açıklardan yararlanmanız en azından tarayıcıda bir açılır uyarı vermelidir. XSS açıklardan yararlanma, kullanıcının kimlik doğrulaması tanımlama bilgisini gösterirse, çok daha iyidir.
  • Siteler Arası İstek Sahtekarlığı (CSRF) için üçüncü bir taraf, oturum açmış mağdurun bir eylem gerçekleştirmesine neden olduğunda uygun bir SAİS vakası kullanın.
  • Bir SQL ekleme için sadece bir hata iletisi üretmekle kalmayıp, veritabanı verilerinin çıkarılması açıklarından yararlanılmasını görmek istiyoruz.
  • HTTP isteği / yanıtı yakalamaları veya basitçe paket yakalamaları da bizim için çok yararlıdır.
  • Lütfen bize Crowdin harici web sitelerine bağlantılar veya PDF / DOC / EXE dosyalarındaki sorunları göndermekten kaçının. Resim dosyaları olur. Hatanın, kullanıcı dışındaki bir kişi tarafından açıklardan yararlanılabilir olduğundan emin olun (örn. “self-XSS”).

Ne Aramıyoruz

  • Açıklayıcı hata iletileri (örn. uygulama veya sunucu hataları).
  • HTTP 404 kodları/sayfaları veya diğer HTTP 200 olmayan kodları/sayfaları.
  • Ortak/halka açık hizmetler hakkında afiş açıklaması.
  • Bilinen herkese açık dosya veya dizinlerin açıklanması (örn. robots.txt).
  • Tıklama suistimali ve sadece tıklama suistimali yoluyla açıklardan yararlanılabilir sorunlar.
  • İsimsiz kullanıcılar tarafından kullanılabilir formlarda CSRF (örn. iletişim formu).
  • Oturumu Kapatmada Siteler Arası İstek Sahtekarlığı (oturumu kapatma CSRF).
  • Uygulamanın veya web tarayıcısının ‘otomatik tamamlama’ veya ‘parola kaydet’ işlevselliğinin varlığı.
  • Güvenli ve Sadece HTTP tanımlama bilgisi işaretlerinin olmaması.
  • Siteden ayrılırken Güvenlik Hız Kesicisi olmaması.
  • Zayıf Captcha / Captcha Atlatma.
  • Oturum Açma Sayfası hata iletisi yoluyla kullanıcı adı numaralandırma.
  • Parolayı Unuttum hata iletisi yoluyla kullanıcı adı numaralandırma.
  • Oturum Açma veya Parolayı Unuttum sayfası deneme yanılma ve hesap kilitlemeye zorlanmaması.
  • Etkinleştirilen OPTIONS / TRACE HTTP yöntemi.
  • BEAST, BREACH, Yeniden anlaşma saldırısı gibi SSL Saldırıları.
  • Etkinleştirilmemiş SSL İletme gizliliği.
  • SSL Güvensiz şifre paketleri.
  • Anti-MIME-Koklama üstbilgisi X-İçerik-Türü-Seçenekleri.
  • Özellikle eksik HTTP güvenlik üstbilgileri.

Güvenlik Açığı Bildirme Anlaşması

Bir güvenlik açığını denemeden ve/veya bildirmeden önce lütfen bu şartları inceleyin. Crowdin, bu ilkeye uydukları sürece sistemlerimize sızmak veya sızmaya çalışmak için araştırmacılara karşı yasal işlem başlatmama sözü verdi.

Crowdin, aşağıdaki türlerde güvenlik araştırmalarına izin vermez

Sorumlu bir şekilde bulduğunuz güvenlik açıklarını keşfetmenizi ve bize bildirmenizi teşvik etsek de, aşağıdaki davranışlar açıkça yasaktır:

  • Crowdin veya kullanıcılarını olumsuz olarak etkileyebilecek eylemler gerçekleştirmek.
  • Size ait olmayan verilere veya bilgilere erişmek veya erişmeye çalışmak.
  • Size ait olmayan verileri veya bilgileri yok etmek veya bozmak ya da yok etmeye veya bozmaya çalışmak.
  • Crowdin personeline, mülke veya veri merkezlerine her türlü fiziksel veya elektronik saldırı yapmak.
  • Herhangi bir Crowdin hizmet masası, çalışanı veya yükleniciye sosyal mühendislik uygulamak.
  • Deneme hesapları dışında herhangi bir şey kullanarak katılan hizmetlerin güvenlik açığı denemelerini gerçekleştirmek.
  • Güvenlik açıklarını keşfetmek için herhangi bir yasayı ihlal etmek veya herhangi bir anlaşmayı bozmak.

Crowdin güvenlik ekibi taahhüdü

Çözülmemiş bir güvenlik açığını üçüncü taraflara/taraflarla paylaşmamanızı veya duyurmamanızı isteriz. Eğer sorumlu bir güvenlik açığı raporu gönderirseniz, Crowdin güvenlik ekibi ve ilgili geliştirme kuruluşları aşağıdakileri yapmak için makul çabaları gösterecektir:

  • Güvenlik açığı raporunuzun alındığını kabul ederek zamanında yanıt verir.
  • Güvenlik açığı raporunu ele almak için tahmini bir zaman aralığı sağlar.
  • Güvenlik açığı düzeltildiğinde sizi bilgilendirir.
  • Crowdin’deki genel güvenlik duruşumuzu geliştirmemize yardımcı olan bir güvenlik açığı raporu sunan her bir araştırmacıya teşekkür etmekten mutluluk duyarız.

Bize bir güvenlik açığı raporu göndererek, size başka bir yükümlülük veya bildirimde bulunmaksızın, gönderiminizi veya bunların herhangi bir bölümünü ürünlerimizde, hizmetlerimizde veya deneme sistemlerimizde kullanmamız, değiştirmemiz ve dahil etmemiz için bize sürekli, dünya çapında, telifsiz, geri alınamaz ve özel olmayan bir lisans ve hak vermiş olduğunuzu lütfen unutmayın.

Özellikle yeniden üretme zorsa, sahip olabileceğiniz daha başka alakalı teknik bilgiler için minnettarız. Eğer bunu yeniden üretemezsek, sizi ödüllendiremeyiz. Ancak, bulgunuzun güvenlik üzerindeki etkisini açıklamaya gerek yoktur - güvenlik risklerini anlıyoruz ve bunu çözebiliriz. Sadece teknik ayrıntılara ihtiyacımız var.

Ödüller

Ödül sistemimizle esnekliği koruyoruz; ödüller önem derecesine, etkiye ve rapor kalitesine dayanır. Örneğin, size Crowdin Swag almanız için bir kupon sağlayabiliriz. Ne keşfettiğinize bağlı olarak, Crowdin Onur Listesi’ne girebilirsiniz. Eğer bir kod adı (tanıtıcı) veya isimsiz kalmayı tercih ederseniz, elbette buna saygı duyacağız.

Aradığımız (ve aramadığımız) belirli şeylerimiz var - bu yüzden Ne arıyoruz bölümünü gözden geçirin.

Eğer hizmetin farklı kısımlarında (örn., farklı düğümlerde veya platformlarda çalışan aynı kod) ya da daha büyük bir sorunun parçası olarak yinelenen birkaç sorun bildirirseniz, bunlar bir araya getirilebilir ve sadece bir ödül mümkün olabilir.

Eğer başka bir kişi daha önce bulguyu zaten bildirdiyse, sorun düzeltildikten sonra size haber vereceğiz. Eğer birkaç araştırmacı aynı sorunu bildirirse, sadece bulguyu yeniden üretmemiz için bize yeterli teknik ayrıntılar sağlayan ilk raporu göndereni ödüllendiririz. Bunun her şeyin daha önce bulunduğunu iddia etmek için bize bir açık kapı bırakacağını biliyoruz, ancak bize güvenin, adil olmak istiyoruz.

Bulgu, siz veya bizden başka hiç kimse tarafından, herhangi bir şekilde, düzeltilmeden önce bilinirse, ödül verilmeyecektir.

Sorununuzun nasıl ilerlediğini her zaman takip edebilirsiniz. Bunun için Crowdin Güvenlik ekibine ulaşın: support@crowdin.com