Prijava ranjivosti

Prijava ranjivosti

Jeste li otkrili ranjivost u našim sustavima? Onda bismo željeli čuti od vas. Uz vašu pomoć možemo poboljšati naše usluge i njihovu sigurnost.

Možete prijaviti probleme povezane s našim internetskim uslugama. Na primjer (ali ne ograničavajući se na):

Skriptiranje na više mjesta

SQL injekcija

Krivotvorenje zahtjeva za više mjesta (CSRF)

Nedostatci u provjeri autentičnosti

 

Naš pravila

Prijavljujete li nam ranjivost? I je li ovo izvješće relevantno? U tom slučaju, uvijek vas nagradimo malim poklonom ili Swagom. Uostalom, uložili ste vrijeme i trud u svoje istraživanje. Je li vaš izvještaj značajan? Tada možda imate pravo na naknadu. Imamo pravilo:

  • Djelujte s integritetom i nemojte uzrokovati štetu tijekom istrage.
  • Nemojte ometati naše usluge ako istražujete ranjivost.
  • Nikada ne otkrivajte podatke o klijentima ili našim osobnim podacima.
  • Svatko može prijaviti ranjivost. Čak i ako niste kupac Trad3sa.
  • Ne dijelite ranjivost s drugima dok se ne riješi. Razgovarajte s našim stručnjacima i dajte nam vremena da riješimo problem.
  • Obrađujemo samo izvješća na engleskom ili nizozemskom jeziku.
  • Nemojte koristiti napade na fizičku sigurnost, socijalni inženjering ili alate za hakiranje kao što su skeneri ranjivosti.
  • Ne postavljajte stražnja vrata ni u jedan ( informacijski ) sustav ( da biste pokazali ranjivost. )
  • Minimalno iskoristite slabost. Učinite samo ono što je potrebno za određivanje ranjivosti.
  • Nemojte mijenjati ili brisati podatke iz sustava.
  • Budite oprezni pri kopiranju podataka.
  • Nemojte mijenjati sustav.
  • Nemojte više puta pokušati pogađanje lozinke kako biste dobili pristup sustavima kroz napade brutalne sile, napade rječnikom i slično.

 

Isključenja

Ako se radi o ranjivosti s niskim ili prihvaćenim rizikom, Trad3s može odlučiti da neće nagraditi izvješće. U nastavku su navedeni neki primjeri takvih ranjivosti:

  • HTTP 404 kodovi ili drugi kodovi koji nisu HTTP 200
  • Dodavanje običnog teksta na 404 stranice
  • Objavljivanje natpisa o javnim službama
  • Javno dostupne datoteke i mape koje sadrže neosjetljive informacije
  • Krađa klikova na stranicama bez funkcije prijave
  • Krivotvorenje zahtjeva za više mjesta (CSRF) na obrascima kojima se može pristupiti anonimno
  • Nedostatak zastavica “sigurno” / “samo HTTP” na neosjetljivim kolačićima
  • Korištenje metode HTTP OPTIONS
  • Ubrizgavanje zaglavlja glavnog računala
  • Nepostojanje SPF, DKIM i DMARC zapisa
  • Nedostatak DNSSEC-a
  • Nedostaje jedno ili više sljedećih HTTP sigurnosnih zaglavlja:
  • Strogo- transport-sigurnost (HSTS)
  • Prikvačivanje HTTP javnog ključa (HPKP)
  • Pravila o sigurnosti sadržaja (CSP)
  • Mogućnosti vrste X-sadržaja
  • Mogućnosti X-okvira
  • X- WebKit -CSP
  • X-XSS- Zaštita

 

Što se događa nakon podnošenja izvješća

Naši stručnjaci za sigurnost istražit će vaše izvješće. Početni odgovor dobit ćete u roku od dva radna dana. Možete se javiti security@trad3s.com. Možda radite nešto u svojoj istrazi što je zabranjeno zakonom. Ako to učinite u dobroj vjeri, pažljivo i u skladu s gore navedenim pravilima, ne namjeravamo podnijeti tužbu. Međutim, želimo biti u mogućnosti uravnotežiti svaku situaciju zasebno. Smatramo se moralno obveznima podnijeti tužbu ako sumnjamo da se ranjivost ili podaci zloupotrebljavaju ili da ste podijelili znanje o ranjivosti s drugima.

 

Nagrada

Uvijek vam dajemo litle poklon ili Swag za napor koji ste poduzeli ako ono što ste pronašli nije na popisu isključenja. Ako popravimo ranjivosti ili prilagodimo svoje usluge zahvaljujući vašem izvješću, dat ćemo vam odgovarajuću naknadu za to. Trad3s odlučuje ispunjavate li uvjete za to i kolikom je iznosu povrata. Prijavljuju li drugi istu ranjivost? Onda je nadoknada za prvog novinara.

 

Privatnost

Ako ste napravili izvješće, tražit ćemo vaše kontakt podatke (ime, e-mail, PGP javni ključ i telefonski broj). Vaše podatke ne dajemo drugima i ne koristimo ih u druge svrhe. Osim ako smo zakonski obvezni to učiniti, na primjer u slučaju zahtjeva pravosudnih tijela.

 

AWS

Naše usluge se pokreću na Amazon Web Services. Amazon ima svoja pravila u vezi s pentestiranjem usluga na njihovoj platformi. Molimo vas da obratite računa o tim pravilima i pridržavate ih se tijekom provođenja istraživanja.

 

URL: https://aws.amazon.com/security/penetration-testing/