如何报告安全漏洞?

负责任的披露

我们致力于保护用户信息。若您认为自己发现了安全漏洞,我们恳请您负责任地披露问题,发送电子邮件至 security@vyond.com 通知我们。

安全对我们非常重要,我们会调查并回应所有漏洞报告。我们非常关注与 vyond.com 相关的漏洞。

请注意以下要点:

  • 请详细地描述漏洞,并说明漏洞的后果。
  • 如适用,请提供可复制的概念证明,如代码片段、请求 URL 和攻击载荷、屏幕截图、数据包跟踪文件或能够证明漏洞被利用的视频。方便的话,请列出外部网站的参考资料,这或许有助于我们更好地了解问题本质。
  • 请避免在同一封电子邮件里报告多种漏洞,因为这可能会妨碍我们汇总类似的漏洞报告,导致我们无法及时快速地识别关键漏洞。若您有多个漏洞需要报告,请针对每种漏洞各向我们发送一封电子邮件。
  • 请不要发送可能会影响我们的用户或造成服务质量下降的测试内容,如拒绝服务型攻击、社交工程和垃圾邮件。对于在短时间内生成大量请求的网站,在使用 Burp 或 Acunetix 等自动扫描工具前,须获得 Vyond 的批准。
  • 不得在主机层面进行渗透测试。
  • 不得收集与任何不属于您的账户相关联的信息。若您无意中获取到此类信息,应向我们报告此类漏洞,并删除第三方数据的所有本地存储副本。
  • 请对您的发现保密,直至我们确认并修正问题。
  • 若您的报告没有提供足够信息,使我们无法了解所报告问题的具体情形,我们可能会与您联系,要求您提供更多信息。
  • 根据问题的严重程度以及您的报告质量,我们会在 1 个工作日至 1-3 周内回复您。请不要用状态查询之类的问询对我们进行轰炸。
  • 如下所述,符合条件的漏洞披露可能会让您有资格进入我们的荣誉堂。

荣誉堂

若您发现严重漏洞,我们会在荣誉堂里表彰您的付出,以此感谢您做出的贡献,具体规定如下:

  • 若我们收到多份有关同一个漏洞的报告,则只表彰第一份有帮助的报告。
  • Vyond 保留评估相关因素来选取“第一份有帮助的报告”的权利,评估因素包括但不限于接收时间以及提交材料的完整性。是否有帮助的指导原则是,所提交的材料在帮助我们识别和修正特定符合条件的漏洞方面发挥着多大作用。
  • 向我们提交漏洞报告表示您同意始终由 Vyond 自行决定是否予以表彰。
  • 同样,Vyond 也保留拒收任何漏洞报告的决定权。
  • 表彰信息目前刊登在安全披露网页。Vyond 保留日后出于网站重建或其他任何原因而将这些内容迁移至其他 URL 的权利。
  • 不提供金钱报酬。
  • 请注意,我们只会审查容易被利用且可能给 vyond.com 造成风险的网站和页面的点击劫持 (Clickjacking) 和 CSRF 漏洞。

Vyond 可随时更改或取消安全披露计划 (Security Disclosure Program),恕不另行通知。因此,Vyond 可能随时修改这些条款,并在网站上发布修订版本。

已知问题和特殊项

以下是一些经常报告给我们,且我们目前已在修正或决定暂时不予处理的漏洞。有关这些漏洞的报告不符合荣誉堂的表彰条件:

  • 与 vyond.com 相关的、涉及长时间运行的会话和需要 cookie 重播的漏洞的会话管理问题。
  • 缺乏具体的安全标头(如 HSTS)。

请注意,不属于我们 Web 应用程序的 Vyond 服务站点不在我们的负责任披露计划范围内,因此不符合进入荣誉堂的条件。

以下分别列出了符合和不符合列入荣誉堂的漏洞示例。本列表并非详尽无遗。

符合条件的漏洞示例

  • 绕过验证
  • 跨站点脚本
  • 服务器端代码执行
  • SQL 注入
  • 特权升级
  • 敏感信息泄漏

不符合条件的漏洞示例

  • 拒绝服务
  • 社交工程
  • 混合内容脚本
  • 不安全的 cookies
  • 需要潜在受害者安装非标准软件或采取主动措施才会受到攻击的漏洞
  • 过时浏览器特有的漏洞
  • Web 服务器报头泄漏
  • HTTP 请求的潜在敏感令牌传递给预授权的第三方小组件

我们感谢下列人员负责任地向我们报告漏洞。

谢谢!

  • Rodolfo Godalle (@rodgodalle)
  • Koutrouss Naddara
  • Osama Mahmood
  • Thatipalli Abhishek
  • Mihir Mistry
  • Ch. Muhammad Osama (@ChMuhammadOsama)
  • Arvind Singh Shekhawat (@EhArvindSingh)
  • JAYVARDHAN SINGH (@Silent_Screamr)
  • Saurabh Chandrakant Nemade (@SaurabhNemade)
  • Anurag Giri
  • mahipal singh rajpurohit (@rajgurumahi007)
  • Sebastian Neef & Richard Kwasnicki
  • Renatas Karpuška
  • Muhammad Talha Khan (@M7K911)
  • Kesav Viswanath Nimmagadda (@kesavnimmagadda)
  • Kamil Sevi (@kamilsevi)
  • ajay singh negi (@AjaySinghNegi)
  • Nadi Abdellah
  • Roy Jansen (@RoyJansen_01
  • Jaidip Kotak (@JaidipKotak)
  • Ahmed Y. Elmogy
  • Ramin Farajpour Cami (@MF4rr3ll)
  • Ahmed Jerbi
  • Ayoub Ait Elmokhtar (@aessadek)
  • Sandeep Sudhagani
  • ABDULWAHAB Khan (@hackerwahab)
  • Pal Patel
  • RAVENAL PRAMOD KUMAR (@PramodRavela)
  • İsmail BÜLBÜL (Usgf.org.tr)
  • Ismail Tasdelen
  • Faizan Ahmed
  • Ather Iqbal
  • Hanz Gumapac
  • Akash Pandey (@HNTR03)
  • Sagar Kumar Patra (@SagarPatra2705)
这篇文章有帮助吗?
2 人中有 2 人觉得有帮助
还有其它问题?提交请求