セキュリティの脆弱性を報告する方法は?

責任ある開示

お客様の情報を保護することをお約束します。セキュリティの脆弱性を特定したと思われる場合は、security@vyond.com宛てに電子メールで通知いただき、責任ある形で開示いただけますようお願いいたします。

セキュリティは当社にとって非常に重要なものであり、すべての脆弱性レポートを調査して対応いたします。最も高い関心を持つのは、vyond.com に関連する脆弱性です。

以下の点にご注意ください。

  • 欠陥を十分に詳細に説明し、セキュリティ上の弱点の影響を説明してください。
  • コードスニペット、リクエスト URL と攻撃ペイロード、スクリーンショット、パケットトレースファイル、セキュリティ上の弱点を示すビデオ キャプチャなど、該当する場合は再現可能な概念実証を含めてください。お手持ちの場合は、問題の性質をよりよく理解するのに役立つ可能性のある、外部サイトの参考資料をご連絡ください。
  • 1つのメールで複数の種類の脆弱性を報告することは避けてください。同様の脆弱性レポートを集計することが妨げられ、重大な脆弱性を迅速に特定できない事態を招く可能性があります。報告の必要な脆弱性が複数ある場合は、脆弱性の種類ごとに別にメールを送信してください。
  • サービス拒否攻撃、ソーシャル エンジニアリング、スパムなど、お客様に影響を与えたり、サービスの低下につながるテストには参加しないでください。短期間に大量のリクエストを生成するサイトに対して、Burp や Acunetix などの自動スキャナーを使用する前には、Vyond からの承認が必要です。
  • ホストレベルで侵入テストを実施することは許可されていません。
  • 自分のものではないアカウントに関連付けられている情報を収集することはできません。誤ってそのような情報に遭遇した場合は、そのような脆弱性を当社に報告し、ローカルに保存されているサードパーティ データのすべてのコピーを消去してください。
  • 問題を確認して修正が行われるまで、見つけられたことを他言しないでください。
  • 報告された問題のコンテキストを理解するのに十分な情報が報告に含まれていない場合、追加情報をお願いするための連絡が必要となる場合があります。
  • 問題の深刻度とレポートの詳細度に応じて、1営業日から 1~3週間にご連絡します。状況確認の問い合わせを複数回にわたり行うことは避けてください。
  • 以下に説明があるように、適格な開示をいただくことで、殿堂の資格に加わる資格を得られる場合があります。

栄誉の殿堂

重大な脆弱性を発見された場合、次の規定に従って、当社の殿堂に加わっていただくことで、ご協力に報いる事ができる場合があります。

  • 同じ脆弱性について複数の報告を受け取った場合、最初の有用な報告のみが認識されます。
  • Vyond は、受領時刻や提出物の完全性などの要素を評価することにより、「最初の役立つレポート」を選択する権利を留保します。有用性に基づく指針となる原則は、提出自体が特定の適格な脆弱性を特定し、修正するのにどれほど役立つのかということです。
  • 当社に脆弱性を提出することにより、承認が提供されるかどうかの決定が Vyond の単独の裁量に留まることに同意するものとみなされます。
  • 同様に、Vyond は当社の裁量により、脆弱性の報告を拒否する権利を留保します。
  • 現在、承認はセキュリティ開示ページに記載されています。Vyond は、サイトの再構築またはその他の理由により、将来必要になる可能性があるコンテンツを別の URL に再配置する権利を留保します。
  • 金銭的な補償は行なわれません。
  • クリックジャッキングと CSRF の脆弱性は、悪用の容易さと vyond.com へのリスクがあるサイトとページに対してのみレビューされることにご注意ください。

セキュリティ開示プログラムは、Vyond により予告なしにいつでも変更またはキャンセルされる場合があります。そのため、Vyond は、改訂版を当社の Web サイトに掲載することにより、いつでもこれらの条件を修正できます。

既知の問題と特別な項目

以下は、修正中または現時点では対応しないことが決定された、頻繁に報告される項目の一部です。これらの項目に関するレポートは、殿堂への承認対象にはなりません。

  • 長時間実行セッションに関連する vyond.com に関連するセッション管理の問題と、Cookie の再生を必要とする脆弱性。
  • 特定のセキュリティ ヘッダー(HSTS など)の欠如。

当社の Web アプリケーションに含まれない Vyond サービス サイトは、当社の責任ある開示プログラムの対象外であり、殿堂入りの資格がないことにご注意ください。

  • サードパーティのエンドポイント(対象範囲内の Web アプリケーションで安全でない統合方法が使用されている場合を除く)
  • Vyond マーケティング サイト(つまり、www.vyond.com
  • Vyond コミュニティ サイト(community.vyond.com
  • Vyond サポートサイト(support.vyond.com / help.vyond.com

以下は、殿堂入りを検討する資格がある脆弱性と不適格な脆弱性の例となります。リストは完全なものではありません。

適格な脆弱性の例

  • 認証の回避
  • クロスサイトスクリプティング
  • サーバー側のコード実行
  • SQL インジェクション
  • 権限昇格
  • 機密情報の漏洩

不適格な脆弱性の例

  • サービス拒否
  • ソーシャルエンジニアリング
  • 混合コンテンツ スクリプト
  • 安全ではない Cookie
  • 潜在的な被害者が非標準のソフトウェアをインストールするか、その他の方法で自分自身を脆弱にするための積極的な措置を講じる必要がある脆弱性
  • 古いブラウザに固有の脆弱性
  • Webサーバーのバナー公開
  • 事前承認済みのサードパーティ ウィジェットへの HTTP リクエストにおける機密性の高いトークンの通過

責任を持って脆弱性を報告してくださった以下の方々に感謝いたします。

ありがとうございました!

  • Rodolfo Godalle (@rodgodalle)
  • Koutrouss Naddara
  • Osama Mahmood
  • Thatipalli Abhishek
  • Mihir Mistry
  • Ch. Muhammad Osama (@ChMuhammadOsama)
  • Arvind Singh Shekhawat (@EhArvindSingh)
  • JAYVARDHAN SINGH (@Silent_Screamr)
  • Saurabh Chandrakant Nemade (@SaurabhNemade)
  • Anurag Giri
  • mahipal singh rajpurohit (@rajgurumahi007)
  • Sebastian Neef & Richard Kwasnicki
  • Renatas Karpuška
  • Muhammad Talha Khan (@M7K911)
  • Kesav Viswanath Nimmagadda (@kesavnimmagadda)
  • Kamil Sevi (@kamilsevi)
  • ajay singh negi (@AjaySinghNegi)
  • Nadi Abdellah
  • Roy Jansen (@RoyJansen_01)
  • Jaidip Kotak (@JaidipKotak)
  • Ahmed Y. Elmogy
  • Ramin Farajpour Cami (@MF4rr3ll)
  • Ahmed Jerbi
  • Ayoub Ait Elmokhtar (@aessadek)
  • Sandeep Sudhagani
  • ABDULWAHAB Khan (@hackerwahab)
  • Pal Patel
  • RAVENAL PRAMOD KUMAR (@PramodRavela)
  • İsmail BÜLBÜL (Usgf.org.tr)
  • Ismail Tasdelen
  • Faizan Ahmed
  • Ather Iqbal
  • Hanz Gumapac
  • Akash Pandey (@HNTR03)
  • Sagar Kumar Patra (@SagarPatra2705)
この記事は役に立ちましたか?
2人中2人がこの記事が役に立ったと言っています
他にご質問がございましたら、リクエストを送信してください