あなたの位置: ホーム / セキュリティ問題を報告する

セキュリティ問題を報告する

セキュリティ問題の報告
Cienciaにセキュリティ上の脆弱性が見つかった場合は、すぐにご連絡ください。合法的な脆弱性レポートをすべて確認し、問題を迅速に解決するために最善を尽くします。あなたが報告する前に、基本原則、賞金プログラム、報酬ガイドライン、そして報告すべきでないことを含むこの文書をよく読んでください。

基本原則
セキュリティの問題をCienciaに報告する際に、以下の原則を遵守している場合、お客様の報告に応じて、お客様に対する訴訟または法執行機関による調査は開始されません。:私たちはそれを聞いて
1.Youは私たちに確認し、報告書についての情報を公表するか、他の人と、そのような情報を共有する前に報告し、問題を修復するために合理的な時間を与えます。
2.アカウントの所有者がそのような行為に同意していない場合は、個々のアカウントとのやり取り(アカウントからのデータの変更またはアクセスを含む)を行わないでください。
3.あなたは、データの破壊および当社のサービスの中断または低下を含むがこれらに限定されない、プライバシーの侵害および他者への中断を回避するために誠意を持って努力します。
4.何らかの理由であなたが発見したセキュリティ問題を悪用しないでください。(これには、企業の機密データの侵害やその他の問題の調査など、追加のリスクの証明が含まれます。)
5 . その他の適用法令に違反しないでください。

賞金プログラム
私達は私達が私達のサービスの脆弱性を報告することによって私達が人々を安全に保つのを手助けするセキュリティー研究者を認めそして報いる リスク、影響、およびその他の要因に基づき、このような報告に対する金銭的利益は完全にCienciaの裁量に任されています。賞金を
受け取る資格を得るには、まず次の要件を満たす必要があります。1.当社の基本原則に従います(上記参照)。
2.セキュリティのバグを報告します。つまり、セキュリティまたはプライバシーのリスクを引き起こすサービスまたはインフラストラクチャの脆弱性を特定します。(Cienciaが最終的に問題のリスクを決定し、多くのバグはセキュリティの問題ではないことに
注意してください。)3 . " ciencia62@gmail.com " を通してあなたの報告を提出してください。「レポートを電子メールで送信し、最新情報を返信してください。直接または他の方法でレポートについて連絡しないでください。ご注文に関してご質問や問題がある場合は、サポートセンターにお問い合わせください。」ciencia62@gmail.com "。この問題を調査しながら、あなたは不注意レポートでこれを開示するようにしてください(例えば、アカウントデータ、サービス構成、またはその他の機密情報へのアクセスなど)プライバシー侵害や混乱を引き起こす4.If。5.Weは調査し、対応すべての有効な報告に。ため、我々が受け取るレポートのボリュームに、しかし、我々はリスクやその他の要因に基づいて評価を優先順位付け、そしてあなたが応答を受信する前に、それはいくつかの時間がかかることがあります。6.Weは、レポートを公開する権利を留保します。

報酬
私たちの報酬は脆弱性の影響に基づいています。フィードバックに基づいてプログラムを更新していきますので、改善できると思われる部分についてはフィードバックをお寄せください。
1.再現可能な手順で詳細なレポートを提出してください。レポートが問題を再現するのに十分詳細でない場合、問題は賞金の対象になりません。
2.重複が発生した場合、私たちは完全に複製できるという最初の報告を授与します。
3. 1つの根本的な問題によって引き起こされた複数の脆弱性は1つの賞金を授与されます。
4.私たちは、影響、搾取のしやすさ、レポートの質など、さまざまな要因に基づいて報奨金を決定します。私たちは特にボーナスの報酬に注意します。これらは以下にリストされています。
以下の5.Amounts は最大です レベルごとに支払います。私たちは公正であることを目指しています、すべての報酬額は私たちの判断です。
緊急の深刻度Vulnerabilities($ 1000): 特権のないユーザから管理者に特権の昇格を引き起こし、リモートでコードが実行される、財務的な窃盗などが可能になる脆弱性例:
・リモートコード実行
・リモートシェル/コマンド実行
・垂直認証回避
・SQLインジェクションそのリーク対象のデータ
・アカウントへのフルアクセスを取得
重大度の高い脆弱性($ 500)は 、それがサポートするプロセスを含むプラットフォームのセキュリティに影響を与える脆弱性を。例:
・横方向の認証のバイパス
・社内の重要な情報の開示
・他のユーザーのためのXSSの保存
・ローカルファイルの包含
・認証Cookieの安全でない処理
中程度の脆弱性(300ドル): 複数のユーザーに影響を及ぼし、ユーザーによる操作がほとんどまたはまったく必要とされない脆弱性。例:
・一般的なロジックデザインの欠陥とビジネスプロセスの欠陥
・安全でない直接オブジェクト参照
低深刻度の脆弱性(50ドル): 特異なユーザーに影響を及ぼし、引き金となるインタラクションまたは重要な前提条件(MITM)が必要な問題。例:
・オープンリダイレクト
・Reflective XSS
・低感度情報漏洩