报告漏洞

报告漏洞

您发现我们的系统中有漏洞吗? 然后,我们想听到你。 在您的帮助下,我们可以改善我们的服务及其安全性。

您可以报告与我们的在线服务相关的问题。 例如(但不限于):

跨站点脚本

SQL 注射

跨站点请求伪造 (CSRF)

身份验证中的弱点

 

我们的规则

您正在向我们报告漏洞吗? 这份报告是否相关? 在这种情况下,我们总是奖励你一个小礼物或斯瓦格。 毕竟,你已经投入了时间和精力在你的研究。 您的报告是否重要? 然后,您可能有资格获得赔偿。 我们确实有一个规则:

  • 诚信行事,在调查期间不会造成损害。
  • 如果您正在调查一个漏洞,请不要中断我们的服务。
  • 切勿披露客户或我们的个人信息。
  • 任何人都可以报告漏洞。 即使您不是 Trad3s 的客户。
  • 在漏洞解决之前,不要与他人共享该漏洞。 与我们的专家交谈,给我们时间解决这个问题。
  • 我们只处理英文或荷兰文的报告。
  • 不要使用对物理安全、社会工程或黑客工具(如漏洞扫描仪)的攻击。
  • 不要在任何(信息)系统中放置后门(以显示漏洞)。
  • 尽量减少使用弱点。 只做确定漏洞所需的工作。
  • 不要更改或删除系统中的任何数据。
  • 在复制数据时要小心。
  • 不要对系统进行更改。
  • 不要反复尝试密码猜测,通过暴力攻击、字典攻击等获得对系统的访问权限。

 

排除

如果涉及风险低或可接受风险的漏洞,Trad3s 可以决定不奖励报告。 以下是此类漏洞的一些示例:

  • HTTP 404 代码或其他非 HTTP 200 代码
  • 在 404 页中添加纯文本
  • 发布公共服务横幅
  • 包含非敏感信息的可公开访问的文件和文件夹
  • 点击没有登录功能的页面
  • 可匿名访问的表格上的跨站点请求伪造 (CSRF)
  • 非敏感饼干上缺少 “安全” / “仅 Http” 标志
  • 使用 HTTP 选项方法
  • 主机头喷射
  • 缺少 SPF、DKIM 和 DMARC 记录
  • 缺乏 Dnssec
  • 缺少以下 HTTP 安全头条之一或多个:
  • 严格 – 运输安全 (HSTS)
  • HTTP 公共钥匙固定 (HPKP)
  • 内容安全政策
  • X 内容类型选项
  • X 帧选项
  • X- 网络基特 – CSP
  • X-XSS- 保护

 

提交报告后会发生什么情况

我们的安全专家将调查您的报告。 您将在两个工作日内收到初始响应。 您可以向 security@trad3s.com 报告 也许你正在做一些法律禁止的调查。 如果您这样做是善意的,仔细和根据上述规则,我们不打算提出指控。 但是,我们确实希望能够分别平衡每个情况。 我们认为,如果我们怀疑漏洞或数据被滥用,或者您与他人分享了有关漏洞的知识,我们在道德上有义务提出指控。

 

奖励

如果您发现的内容不在排除列表中,我们总是会为您付出的努力提供礼包礼物或 Swag。 如果我们通过您的报告修复漏洞或调整我们的服务,我们将为此给予您适当的补偿。 Trad3s 决定您是否有资格获得此资格以及报销金额是多少。 其他人报告的漏洞相同吗? 然后报销是给第一个记者的。

 

隐私

如果您已报告,我们将询问您的联系方式(姓名、电子邮件、PGP 公钥和电话号码)。 我们不会将您的信息给他人,也不会将其用于其他目的。 除非我们在法律上有义务这样做,例如在司法当局提出索赔的情况下。

 

AWS

我们的服务运行在亚马逊网络服务。 亚马逊有自己的规则,关于在他们的平台上对服务进行笔试。 我们恳请您注意这些规则,并在进行研究时遵守这些规则。

 

网址 :https://aws.amazon.com/security/penetration-testing/