我們致力於保護客戶的資訊。若您認為已發現到安全漏洞,歡迎您以負責任的方式透過電子郵件向我們反映:security@vyond.com。
安全對我們而言非常重要,我們將調查並回應所有安全漏洞報告。我們最在意的是與 vyond.com 相關的安全漏洞。
請注意以下幾點:
- 請詳細說明安全漏洞的內容,並指出該漏洞可能造成的影響。
- 若可行的話,請提供可重現的概念證明,例如程式碼片段、請求網址、攻擊負載、截圖、封包追蹤檔案,或者能顯示該漏洞的影片截圖。若方便的話,可以提供協助我們進一步瞭解該問題性質的外部網站參考資源。
- 請避免在同一封電子郵件中反映多種漏洞問題,因為這可能會阻礙我們統整類似問題的漏洞報告,並影響我們及時且快速地識別關鍵漏洞。如果您有多個漏洞要反映,請針對各類型的漏洞問題向我們傳送電子郵件。
- 請勿參與任何影響我們客戶或衝擊本服務的測試活動,例如阻斷式服務攻擊、社交工程及垃圾內容。使用自動化掃描功能之前 (例如 Burp 或 Acunetix),請務必取得 Vyond 的核准;我們不允許在短時間內,透過特定網站產生大量請求之行為。
- 我們不允許在主機層級中進行滲透測試。
- 您不得收集任何與您帳戶不相關的資訊。若您恰巧接觸到此類資訊,請向我們反映該漏洞,同時清除所有本機儲存的第三方資料副本。
- 在我們確認並解決問題之前,請對您發現的內容保密。
- 若您提供的資訊不足以我們瞭解反映的問題,我們可能會再聯絡您,請您提供額外的資訊。
- 視問題嚴重度及您報告內容的品質而定,我們回覆您的時間將為 1 個工作天至 1 到 3 週內。請勿不斷地詢問我們調查的進度。
- 符合條件的披露可能讓您有資格名列我們的名人堂,如下所示。
若您發現嚴重漏洞,我們將感謝您的貢獻,並將您的努力列冊於名人堂,但相關規定如下所述:
- 如果我們收到多個同一漏洞的反映報告,則只會認可第一個有效的報告。
- Vyond 保有定義「第一個有效報告」之權利,其評估依據包括但不限於:報告接收的時間,以及提交報告之完整度。實用性為主的大原則是指,提交內容本身有益於我們識別和修復特定的合格漏洞之助益程度。
- 向我們提交漏洞報告,即代表您同意由 Vyond 自行決定是否承認其內容。
- 同樣地,Vyond 保有自行決定拒絕任何漏洞報告之權利。
- 致謝清單目前列於安全披露頁面上。未來若因網站重整或任何其他原因,Vyond 保有將該內容重新放置其他網址之權利。
- 屆時將不提供任何金錢補償。
- 請注意,僅針對 vyond.com 易遭濫用和暴露風險的網站和頁面,我們才會審查其 Clickjacking 及 CSRF 漏洞。
Vyond 可隨時更改或取消「安全披露計畫」,恕不另行通知。因此,Vyond 可隨時在我們網站上發布修訂版本來修改這些條款。
以下是一些常受到反映的問題項目,有些我們已著手修復,而有些目前已決定先暫緩解決。就這些項目提出的報告,並不符合名列「名人堂」的資格:
- 與 vyond.com 有關的工作階段管理問題,其中涵蓋長時間執行的工作階段及需要重複執行 Cookie 所帶來的漏洞問題。
- 缺少特定的安全性標頭 (例如 HSTS)。
請注意,不屬於我們網頁應用程式的 Vyond 服務網站並不在我們負責任披露計畫的範圍內,且沒有資格進入名人堂。
- 第三方端點 (除非在我們範圍內的網頁應用程式中使用了不安全的整合方式)
- Vyond 行銷網站 (如 www.vyond.com)
- Vyond 社群網站 (community.vyond.com)
-
Vyond 支援網站 (support.vyond.com / help.vyond.com)
以下分別列出了符合條件及不符合條件的漏洞範例,其可考慮列入名人堂。這些清單並未列出所有情況。
合格的漏洞範例
- 驗證繞過
- 跨網站指令碼
- 伺服器端的代碼執行
- SQL 注入
- 特權提升
- 敏感資訊暴露
非合格的漏洞範例
- 阻斷服務攻擊
- 社交工程
- 混合內容指令碼
- 不安全的 Cookie
- 該漏洞需潛在受害者安裝非標準的軟體,或無法主動採取相關步驟,因而讓自己身陷安全漏洞之風險
- 瀏覽器過舊之相關漏洞
- 網頁瀏覽器橫幅披露
- HTTP 請求中潛在的敏感權杖,其主要標的為預先授權之第三方小工具
在此感謝以下人員負責任地向我們報告漏洞。
感謝各位!
- Rodolfo Godalle (@rodgodalle)
- Koutrouss Naddara
- Osama Mahmood
- Thatipalli Abhishek
- Mihir Mistry
- Ch. Muhammad Osama (@ChMuhammadOsama)
- Arvind Singh Shekhawat (@EhArvindSingh)
- JAYVARDHAN SINGH (@Silent_Screamr)
- Saurabh Chandrakant Nemade (@SaurabhNemade)
- Anurag Giri
- mahipal singh rajpurohit (@rajgurumahi007)
- Sebastian Neef & Richard Kwasnicki
- Renatas Karpuška
- Muhammad Talha Khan (@M7K911)
- Kesav Viswanath Nimmagadda (@kesavnimmagadda)
- Kamil Sevi (@kamilsevi)
- ajay singh negi (@AjaySinghNegi)
- Nadi Abdellah
- Roy Jansen (@RoyJansen_01
- Jaidip Kotak (@JaidipKotak)
- Ahmed Y. Elmogy
- Ramin Farajpour Cami (@MF4rr3ll)
- Ahmed Jerbi
- Ayoub Ait Elmokhtar (@aessadek)
- Sandeep Sudhagani
- ABDULWAHAB Khan (@hackerwahab)
- Pal Patel
- RAVENAL PRAMOD KUMAR (@PramodRavela)
- İsmail BÜLBÜL (Usgf.org.tr)
- Ismail Tasdelen
- Faizan Ahmed
- Ather Iqbal
- Hanz Gumapac
- Akash Pandey (@HNTR03)
- Sagar Kumar Patra (@SagarPatra2705)
- Corrie Sloot