如何反映安全漏洞?

負責任的披露

我們致力於保護客戶的資訊。若您認為已發現到安全漏洞,歡迎您以負責任的方式透過電子郵件向我們反映:security@vyond.com

安全對我們而言非常重要,我們將調查並回應所有安全漏洞報告。我們最在意的是與 vyond.com 相關的安全漏洞。

請注意以下幾點:

  • 請詳細說明安全漏洞的內容,並指出該漏洞可能造成的影響。
  • 若可行的話,請提供可重現的概念證明,例如程式碼片段、請求網址、攻擊負載、截圖、封包追蹤檔案,或者能顯示該漏洞的影片截圖。若方便的話,可以提供協助我們進一步瞭解該問題性質的外部網站參考資源。
  • 請避免在同一封電子郵件中反映多種漏洞問題,因為這可能會阻礙我們統整類似問題的漏洞報告,並影響我們及時且快速地識別關鍵漏洞。如果您有多個漏洞要反映,請針對各類型的漏洞問題向我們傳送電子郵件。
  • 請勿參與任何影響我們客戶或衝擊本服務的測試活動,例如阻斷式服務攻擊、社交工程及垃圾內容。使用自動化掃描功能之前 (例如 Burp 或 Acunetix),請務必取得 Vyond 的核准;我們不允許在短時間內,透過特定網站產生大量請求之行為。
  • 我們不允許在主機層級中進行滲透測試。
  • 您不得收集任何與您帳戶不相關的資訊。若您恰巧接觸到此類資訊,請向我們反映該漏洞,同時清除所有本機儲存的第三方資料副本。
  • 在我們確認並解決問題之前,請對您發現的內容保密。
  • 若您提供的資訊不足以我們瞭解反映的問題,我們可能會再聯絡您,請您提供額外的資訊。
  • 視問題嚴重度及您報告內容的品質而定,我們回覆您的時間將為 1 個工作天至 1 到 3 週內。請勿不斷地詢問我們調查的進度。
  • 符合條件的披露可能讓您有資格名列我們的名人堂,如下所示。

名人堂

若您發現嚴重漏洞,我們將感謝您的貢獻,並將您的努力列冊於名人堂,但相關規定如下所述:

  • 如果我們收到多個同一漏洞的反映報告,則只會認可第一個有效的報告。
  • Vyond 保有定義「第一個有效報告」之權利,其評估依據包括但不限於:報告接收的時間,以及提交報告之完整度。實用性為主的大原則是指,提交內容本身有益於我們識別和修復特定的合格漏洞之助益程度。
  • 向我們提交漏洞報告,即代表您同意由 Vyond 自行決定是否承認其內容。
  • 同樣地,Vyond 保有自行決定拒絕任何漏洞報告之權利。
  • 致謝清單目前列於安全披露頁面上。未來若因網站重整或任何其他原因,Vyond 保有將該內容重新放置其他網址之權利。
  • 屆時將不提供任何金錢補償。
  • 請注意,僅針對 vyond.com 易遭濫用和暴露風險的網站和頁面,我們才會審查其 Clickjacking 及 CSRF 漏洞。

Vyond 可隨時更改或取消「安全披露計畫」,恕不另行通知。因此,Vyond 可隨時在我們網站上發布修訂版本來修改這些條款。

已知問題和特殊項目

以下是一些常受到反映的問題項目,有些我們已著手修復,而有些目前已決定先暫緩解決。就這些項目提出的報告,並不符合名列「名人堂」的資格:

  • 與 vyond.com 有關的工作階段管理問題,其中涵蓋長時間執行的工作階段及需要重複執行 Cookie 所帶來的漏洞問題。
  • 缺少特定的安全性標頭 (例如 HSTS)。

請注意,不屬於我們網頁應用程式的 Vyond 服務網站並不在我們負責任披露計畫的範圍內,且沒有資格進入名人堂。

以下分別列出了符合條件及不符合條件的漏洞範例,其可考慮列入名人堂。這些清單並未列出所有情況。

合格的漏洞範例

  • 驗證繞過
  • 跨網站指令碼
  • 伺服器端的代碼執行
  • SQL 注入
  • 特權提升
  • 敏感資訊暴露

非合格的漏洞範例

  • 阻斷服務攻擊
  • 社交工程
  • 混合內容指令碼
  • 不安全的 Cookie
  • 該漏洞需潛在受害者安裝非標準的軟體,或無法主動採取相關步驟,因而讓自己身陷安全漏洞之風險
  • 瀏覽器過舊之相關漏洞
  • 網頁瀏覽器橫幅披露
  • HTTP 請求中潛在的敏感權杖,其主要標的為預先授權之第三方小工具

在此感謝以下人員負責任地向我們報告漏洞。

感謝各位!

  • Rodolfo Godalle (@rodgodalle)
  • Koutrouss Naddara
  • Osama Mahmood
  • Thatipalli Abhishek
  • Mihir Mistry
  • Ch. Muhammad Osama (@ChMuhammadOsama)
  • Arvind Singh Shekhawat (@EhArvindSingh)
  • JAYVARDHAN SINGH (@Silent_Screamr)
  • Saurabh Chandrakant Nemade (@SaurabhNemade)
  • Anurag Giri
  • mahipal singh rajpurohit (@rajgurumahi007)
  • Sebastian Neef & Richard Kwasnicki
  • Renatas Karpuška
  • Muhammad Talha Khan (@M7K911)
  • Kesav Viswanath Nimmagadda (@kesavnimmagadda)
  • Kamil Sevi (@kamilsevi)
  • ajay singh negi (@AjaySinghNegi)
  • Nadi Abdellah
  • Roy Jansen (@RoyJansen_01
  • Jaidip Kotak (@JaidipKotak)
  • Ahmed Y. Elmogy
  • Ramin Farajpour Cami (@MF4rr3ll)
  • Ahmed Jerbi
  • Ayoub Ait Elmokhtar (@aessadek)
  • Sandeep Sudhagani
  • ABDULWAHAB Khan (@hackerwahab)
  • Pal Patel
  • RAVENAL PRAMOD KUMAR (@PramodRavela)
  • İsmail BÜLBÜL (Usgf.org.tr)
  • Ismail Tasdelen
  • Faizan Ahmed
  • Ather Iqbal
  • Hanz Gumapac
  • Akash Pandey (@HNTR03)
  • Sagar Kumar Patra (@SagarPatra2705)
這篇文章是否有幫助?
2 人中有 2 人覺得有幫助
還有其他問題?提交請求