Come posso segnalare una vulnerabilità della sicurezza?

Divulgazione responsabile

Ci impegniamo a proteggere le informazioni dei nostri clienti.Se ritieni di aver identificato una vulnerabilità di sicurezza, ti ringraziamo per il tuo contributo nel segnalarla in modo responsabile comunicandocelo via e-mail all'indirizzo security@vyond.com.

La sicurezza è molto importante per noi e indagheremo e risponderemo a tutte le segnalazioni di vulnerabilità. Siamo molto interessati alle vulnerabilità associate a vyond.com.

Ti invitiamo a prendere nota dei seguenti punti:

  • Descrivi i difetti in modo sufficientemente dettagliato e indica le ramificazioni degli exploit.
  • Includi una prova riproducibile del concetto, se applicabile, come snippet di codice, URL di richiesta e payload di attacco, screenshot, file di traccia dei pacchetti o acquisizione di video che dimostrano l'exploit. Se utile, elenca i materiali di riferimento su siti esterni se ritieni che possano aiutarci a comprendere meglio la natura del problema.
  • Evita di segnalare diversi tipi di vulnerabilità nella stessa e-mail, poiché ciò potrebbe impedirci di aggregare rapporti di vulnerabilità simili e impedirci di identificare rapidamente vulnerabilità critiche a tempo debito. Nel caso tu desideri segnalare più vulnerabilità, inviaci un'e-mail per ciascun tipo.
  • Non eseguire test che possono avere un impatto sui nostri clienti o causare un degrado del servizio, come attacchi di negazione del servizio, ingegneria sociale e spam. È necessaria l'approvazione di Vyond prima dell'uso di scanner automatici, ad esempio Burp o Acunetix, contro il sito che genera un grande volume di richieste in un breve periodo di tempo.
  • Non è consentito condurre test di penetrazione a livello di host.
  • Non puoi raccogliere informazioni associate a nessun account che non sia tuo. Nel caso in cui ti imbatti accidentalmente in tali informazioni, dovresti segnalarci tale vulnerabilità ed eliminare tutte le copie archiviate localmente di dati di terze parti.
  • Ti preghiamo di non divulgare la questione fino a quando non avremo confermato e risolto i problemi.
  • Potremmo contattarti per richiedere ulteriori informazioni se la tua segnalazione non contiene informazioni sufficienti per comprendere il contesto dei problemi segnalati.
  • Ti risponderemo tra 1 giorno lavorativo e 1-3 settimane a seconda della gravità del problema e della qualità della tua segnalazione. Ti preghiamo di non bombardarci di richieste di controllo dello stato.
  • Le segnalazioni qualificanti potrebbero renderti idoneo per la nostra Hall of Fame, come descritto di seguito.

Hall of Fame

Se si rileva una grave vulnerabilità, ti ringrazieremo per il tuo contributo riconoscendo il tuo impegno nella nostra Hall of Fame, in base alle seguenti disposizioni:

  • Se riceviamo più segnalazioni per la stessa vulnerabilità, verrà riconosciuta solo la prima segnalazione utile.
  • Vyond si riserva il diritto di scegliere il "primo rapporto utile" valutando fattori come, ma non esclusivamente, il momento della ricezione e la completezza della presentazione. Il principio guida in base all'utilità è quanto sia utile la segnalazione che di per sé ci ha aiutato a identificare e risolvere una specifica vulnerabilità qualificante.
  • Segnalandoci una vulnerabilità, l'utente accetta che la decisione di fornire un riconoscimento resti a sola discrezione di Vyond.
  • Allo stesso modo, Vyond si riserva il diritto di rifiutare qualsiasi segnalazione di vulnerabilità a nostra discrezione.
  • I riconoscimenti sono attualmente elencati nella pagina di segnalazione della sicurezza. Vyond si riserva il diritto di riposizionare il contenuto su un altro URL come potrebbe essere richiesto in futuro a causa della ristrutturazione del sito o per qualsiasi altro motivo.
  • Non sarà fornito alcun compenso monetario.
  • Le vulnerabilità Clickjacking e CSRF vengono esaminate solo per i siti e le pagine che presentano facilità di sfruttamento e rischio per vyond.com.

Il Programma di segnalazione della sicurezza è soggetto a modifica o cancellazione da parte di Vyond in qualsiasi momento, senza preavviso. Pertanto, Vyond può modificare i presenti termini in qualsiasi momento pubblicando una versione aggiornata sul nostro sito web.

Problemi noti ed elementi speciali

Ecco alcuni degli elementi segnalati di frequente a cui siamo in procinto di porre rimedio o che abbiamo deciso di non affrontare a questo punto. Le segnalazioni relative a questi elementi non sono idonee per il riconoscimento nella Hall of Fame:

  • Problemi di gestione delle sessioni relativi a vyond.com relativi a sessioni di lunga durata e vulnerabilità che richiedono la riproduzione dei cookie.
  • Mancanza di intestazioni di sicurezza specifiche (ad es. HSTS).

I siti del servizio Vyond che non fanno parte delle nostre applicazioni web non rientrano nell'ambito del nostro programma di segnalazione responsabile e non sono idonei per la Hall of Fame.

Di seguito sono elencati esempi di vulnerabilità che sono ammissibili e non ammissibili, rispettivamente, per essere presi in considerazione per l'inclusione nella Hall of fame. Gli elenchi non sono esaustivi.

Esempi di vulnerabilità qualificanti

  • Bypass di autenticazione
  • Cross Site Scripting
  • Esecuzione del codice lato server
  • SQL Injection
  • Privilege escalation
  • Esposizione di informazioni sensibili

Esempi di vulnerabilità non qualificanti

  • Negazione di servizio
  • Ingegneria sociale
  • Script a contenuto misto
  • Cookie non sicuri
  • Vulnerabilità che richiedono a una potenziale vittima di installare software non standard o di intraprendere azioni proattive per rendersi sensibile
  • Vulnerabilità specifiche di browser obsoleti
  • Divulgazione di banner del server Web
  • Passaggio di token potenzialmente sensibili su richieste HTTP a widget di terze parti pre-autorizzati

Desideriamo ringraziare le seguenti persone per averci segnalato le vulnerabilità in modo responsabile.

Grazie!

  • Rodolfo Godalle (@rodgodalle)
  • Koutrouss Naddara
  • Osama Mahmood
  • Thatipalli Abhishek
  • Mihir Mistry
  • Ch. Muhammad Osama (@ChMuhammadOsama)
  • Arvind Singh Shekhawat (@EhArvindSingh)
  • JAYVARDHAN SINGH (@Silent_Screamr)
  • Saurabh Chandrakant Nemade (@SaurabhNemade)
  • Anurag Giri
  • mahipal singh rajpurohit (@rajgurumahi007)
  • Sebastian Neef e Richard Kwasnicki
  • Renatas Karpuška
  • Muhammad Talha Khan (@M7K911)
  • Kesav Viswanath Nimmagadda (@kesavnimmagadda)
  • Kamil Sevi (@kamilsevi)
  • ajay singh negi (@AjaySinghNegi)
  • Nadi Abdellah
  • Roy Jansen (@RoyJansen_01
  • Jaidip Kotak (@JaidipKotak)
  • Ahmed Y. Elmogy
  • Ramin Farajpour Cami (@MF4rr3ll)
  • Ahmed Jerbi
  • Ayoub Ait Elmokhtar (@aessadek)
  • Sandeep Sudhagani
  • ABDULWAHAB Khan (@hackerwahab)
  • Pal Patel
  • RAVENAL PRAMOD KUMAR (@PramodRavela)
  • İsmail BÜLBÜL (Usgf.org.tr)
  • Ismail Tasdelen
  • Faizan Ahmed
  • Ather Iqbal
  • Hanz Gumapac
  • Akash Pandey (@HNTR03)
  • Sagar Kumar Patra (@SagarPatra2705)
Questo articolo ti è stato utile?
Utenti che ritengono sia utile: 2 su 2
Altre domande? Invia una richiesta