平台漏洞披露政策

介绍

平台致力于通过保护用户的信息来确保用户的安全. 此策略旨在为安全研究人员提供进行漏洞发现活动的明确指导方针,并传达gpk电子游戏官网在如何将发现的漏洞提交给gpk电子游戏官网方面的偏好.

该策略描述了在该策略下涵盖的系统和研究类型,以及如何向gpk电子游戏官网发送漏洞报告.

gpk电子游戏官网鼓励您与gpk电子游戏官网联系,报告gpk电子游戏官网系统中的潜在漏洞.

安全港

以符合本政策的方式进行的任何活动将被视为授权行为,gpk电子游戏官网不会对您采取法律行动. 如果第三方就本政策下的活动对您提起法律诉讼, gpk电子游戏官网将采取措施让大家知道,你们的行动是按照本政策进行的.

的指导方针

下面是一些研究人员研究gpk电子游戏官网的环境的一般指南:

  • 尊重用户帐号的隐私. 不要过多地获取与你的考试无关的信息. 尽可能使用测试帐户或数据.
  • 没有领奖台的明确书面同意,不向非领奖台的人员披露弱点.
  • 如果访问进入内部系统, 不使用该访问轴心和探索其他内部可访问的服务. 就你的报告而言, 在这一点上结束繁殖步骤将足以让gpk电子游戏官网的团队进行分类和适当评估严重程度.
  • 不超越证明漏洞存在的必要条件吗.
  • 不要采取任何可能影响gpk电子游戏官网服务的性能或可用性的行动-在使用自动扫描和工具时要小心.
  • 切勿保存或复制来自平台服务的私人资料.

作用

资产:

检查

资产:

  • http://www.Podium.com -gpk电子游戏官网主要的营销网站,它是一个外部托管的Word新闻网站
  • *.讲台上.com -这将涵盖任何没有在“范围内”章节中列出的子域。

当报告漏洞, 请考虑(1)攻击场景/可利用性, (2)漏洞对安全的影响. 以下问题被认为超出范围:

  • 任何端点上的速率限制或暴力问题
  • 试图访问gpk电子游戏官网的办公室或数据中心
  • 将网络钓鱼作为主要攻击方法的攻击(可以在个别情况下被忽略)
  • 向客户发送垃圾邮件是主要影响的攻击
  • 与gpk电子游戏官网集成的供应商的漏洞
  • 容易被点击劫持的页面
  • 跨站点请求伪造(CSRF)对未经身份验证的表单或没有敏感操作的表单
  • 需要对用户设备进行MITM或物理访问的攻击.
  • 之前已知的脆弱库,没有工作的概念证明.
  • 逗号分隔值(CSV)注入,但没有显示漏洞.
  • 缺少SSL/TLS配置的最佳实践.
  • 任何可能导致gpk电子游戏官网服务(DoS)中断的活动.
  • 内容欺骗和文本注入问题,不显示攻击矢量/不能够修改HTML/CSS
  • 内容安全策略中缺少最佳实践.
  • cookie上缺少HttpOnly或Secure标志
  • 会话cookie的作用域不合适
  • 会话cookie过期时间太长
  • 在注销/密码更改时,会话不会立即失效
  • 失踪Anti-CSRF保护
  • 缺失电子邮件最佳实践(无效、不完整或缺失SPF/DKIM/DMARC记录等.)
  • 漏洞只影响过时或未打补丁的浏览器用户[比最新发布的稳定版本落后2个稳定版本]
  • 软件版本公开/横幅标识问题/描述性错误消息或标题(例如.g. 堆栈跟踪、应用程序或服务器错误).
  • 拥有官方补丁不足1个月的公共零日漏洞将根据具体情况给予奖励.
  • 过时的库/包, 除非库/包可以在应用程序上下文中被利用成不同的漏洞
  • 小圆面包
  • 打开重定向-除非可以证明有额外的安全影响
  • 需要不太可能的用户交互的问题

在这个时候, 讲台上公司的Bug Bounty计划是私人的, 仅限邀请,公众参与尚不成熟.

gpk电子游戏官网确实认为,按照这一在范围内的政策提交的有效报告应得到金钱补偿. 一旦安全团队有时间审查您的报告,并确定它是符合gpk电子游戏官网的Bug Bounty计划的有效报告, gpk电子游戏官网会联系你,获取你的联系方式,让你加入gpk电子游戏官网的私人项目.

gpk电子游戏官网现在要求你这么做, 你可以先通过这个程序提交你的发现,然后让安全团队邀请你加入Bug Bounty计划,而不是在收到邀请后才提交报告. gpk电子游戏官网遵循这个过程作为一种审查超出范围的方法, erroneous reports and can guarantee you that if your report leads to significant code change; we will invite you to our program and provide a reward.

报告过程

如果你认为你有发现需要披露,请将报告提交给 (电子邮件保护) VDP Report - VULN_TYPE后接复制步骤(请将VULN_TYPE替换为您认为已经发现的漏洞的名称).

安全团队将在3个工作日内确认收到报告. 在评估了你的报告的有效性之后, gpk电子游戏官网将用接下来的步骤进行响应(不管它是有效的还是无效的).

gpk电子游戏官网目前不支持pgp加密的电子邮件.

友情链接: 1 2 3 4 5 6 7 8 9 10