Bug Bounty program
Elkötelezettek vagyunk közösségünk védelme iránt, és létrehoztunk egy biztonsági programot, amelynek segítségével a felhasználók jelenthetik a weboldalunkkal kapcsolatos biztonsági problémákat.
Ha úgy véli, hogy talált egy sebezhetőséget vagy problémát, és szeretne részt venni a programunkban, kérjük, küldje el a probléma részletes leírását, beleértve a probléma reprodukálásához szükséges lépéseket és/vagy egy proof-of-conceptet.
Ha bejelentést tesz, kérjük, adjon ésszerű időt arra, hogy csapatunk válaszoljon a bejelentésre, és megoldja a problémát. Nagyra értékeljük a közösségünk védelme érdekében tett erőfeszítéseit, és a résztvevőket megjutalmazhatjuk a segítségükért. Minden jelentésre az alábbiakban meghatározott programunk feltételei és a weboldalon elérhető Szolgáltatási feltételek vonatkoznak.
Terjedelem
Szívesen fogadjuk a weboldalunkon talált, biztonsággal kapcsolatos problémákról vagy sebezhetőségekről szóló jelentéseket. Kérjük azonban, hogy ne folyamodjon adathalászathoz, spammeléshez vagy más megkérdőjelezhető módszerekhez, amelyek zaklathatják felhasználóinkat vagy veszélyeztethetik adataikat, jelentős forgalmat generálhatnak, vagy fennakadást okozhatnak weboldalunkon. Az automatikus biztonsági ellenőrző eszközök használata megengedett, amennyiben nem okoznak problémát.
Bounty
A minimális jutalom 100 dollár a biztonsági előírások megsértése esetén. A jutalom a biztonsági rés súlyosságától függ. Az olyan problémák, amelyek nem befolyásolják a biztonságot, nem jogosultak jutalomra, de továbbra is szívesen fogadjuk őket, és ugyanúgy kezeljük őket, mint bármely más bejelentést.
Támogathatóság
- Önnek kell elsőként jelentenie a sebezhetőséget.
- Ön nem fér hozzá más felhasználók adataihoz, és csak a saját maga által létrehozott fiókokat használja.
- Nem hozhatja nyilvánosságra a sebezhetőséget, amíg nem javítottuk ki.
- Ön egy olyan működő koncepciót nyújt be, amely kihasználja a sebezhetőséget.
- A sebezhetőségi jelentést PGP-vel titkosítjuk (a részleteket lásd alább; lásd: Kapcsolatfelvétel).
Kizárás
Regisztráció/deregisztráció CSRF
DDoS
Social engineering a HOT Group AG ügyfeleinél vagy alkalmazottainál
Self-XSS (bizonyítani kell, hogy az XSS hogyan használható egy másik Algolia felhasználó megtámadására)
Az árfolyamkorlátok figyelmen kívül hagyása
Jelentés az automatizált eszközökről és vizsgálatokról
A spam vagy jogosulatlan üzenetek küldésének sebezhetőségei
Hibák a harmadik féltől származó szoftverekben
X-kerethez kapcsolódó opciók
A HSTS-hez kapcsolódóan
DNSSEC
Hiányzó biztonsági fejlécek, amelyek nem vezetnek közvetlenül sebezhetőséghez
Az infrastruktúra elleni fizikai támadások
Elméleti támadások
Az SSL/TLS bizalom megszakítása
Böngésző/eszköz kompromittálása (pl. számítógép megosztása, fizikai hozzáférés a felhasználó eszközéhez, ...).
Olyan sebezhetőségek, amelyek csak az elavult vagy javítatlan böngészők és platformok felhasználóit érintik.
Jelszó- és fiók-visszaállítási irányelvek, pl. a jelszó-visszaállítási link lejárata vagy a jelszó összetettsége
sebezhetőségek a mi oldalunkon történő feloldás nélkül (HEIST, ...)
Elavult DNS rekordok, amelyek egy olyan rendszerre mutatnak, amely nem a miénk
Tulajdonjog és ösztönzés
Az Ön által nekünk küldött bármely jelentés a mi tulajdonunkba kerül, és nem vagyunk kötelesek válaszolni semmilyen jelentésre. Ha azonban válaszolunk egy bejelentésre, saját belátásunk szerint pénzbeli vagy nem pénzbeli kompenzációt nyújthatunk Önnek, hogy kifejezzük elismerésünket a segítségéért. Ön felelős a Programban való részvétellel és a jutalommal kapcsolatos minden adóért, kiadásért, költségért vagy díjért.
Jótállási kizáró nyilatkozatok
KIFEJEZETTEN TUDOMÁSUL VESZI ÉS ELFOGADJA, HOGY: (1) A PROGRAMBAN VALÓ RÉSZVÉTELE ÉS A JUTALMAK FELHASZNÁLÁSA AZ ÖN SAJÁT FELELŐSSÉGÉRE TÖRTÉNIK. A HOT GROUP AG KIFEJEZETTEN KIZÁR MINDENFAJTA KIFEJEZETT VAGY HALLGATÓLAGOS GARANCIÁT, BELEÉRTVE, DE NEM KIZÁRÓLAGOSAN, A KERESKEDELMI FORGALOMBAN VALÓ ALKALMAZHATÓSÁG, A MEGHATÁROZOTT CÉLRA VALÓ ALKALMASSÁG ÉS A JOGSÉRTÉSMENTESSÉG HALLGATÓLAGOS GARANCIÁJÁT. A HOT GROUP AG KIFEJEZETTEN KIZÁR MINDEN FELELŐSSÉGET A PROGRAMBAN VALÓ RÉSZVÉTELBŐL VAGY BÁRMELY DÍJ FELHASZNÁLÁSÁBÓL EREDŐ BÁRMILYEN CSELEKMÉNYÉRT.
Záró megjegyzés
Kérjük, hogy kövesse a felelős nyilvánosságra hozatal elveit, és adjon a fejlesztőcsapatunknak ésszerű időt a benyújtott probléma megválaszolására és kijavítására, mielőtt nyilvánosságra hozná azt. Kérjük, hogy nyíltan kommunikáljon velünk a közzétételről, hogy egyetértésben legyünk a jelentéssel és az ütemezéssel kapcsolatban.
Nagyon köszönjük, nagyra értékeljük az erőfeszítéseidet! Jó szórakozást a hackeléshez!
Ha úgy véli, hogy talált egy sebezhetőséget vagy problémát, és szeretne részt venni a programunkban, kérjük, küldje el a probléma részletes leírását, beleértve a probléma reprodukálásához szükséges lépéseket és/vagy egy proof-of-conceptet.
Ha bejelentést tesz, kérjük, adjon ésszerű időt arra, hogy csapatunk válaszoljon a bejelentésre, és megoldja a problémát. Nagyra értékeljük a közösségünk védelme érdekében tett erőfeszítéseit, és a résztvevőket megjutalmazhatjuk a segítségükért. Minden jelentésre az alábbiakban meghatározott programunk feltételei és a weboldalon elérhető Szolgáltatási feltételek vonatkoznak.
Terjedelem
Szívesen fogadjuk a weboldalunkon talált, biztonsággal kapcsolatos problémákról vagy sebezhetőségekről szóló jelentéseket. Kérjük azonban, hogy ne folyamodjon adathalászathoz, spammeléshez vagy más megkérdőjelezhető módszerekhez, amelyek zaklathatják felhasználóinkat vagy veszélyeztethetik adataikat, jelentős forgalmat generálhatnak, vagy fennakadást okozhatnak weboldalunkon. Az automatikus biztonsági ellenőrző eszközök használata megengedett, amennyiben nem okoznak problémát.
Bounty
A minimális jutalom 100 dollár a biztonsági előírások megsértése esetén. A jutalom a biztonsági rés súlyosságától függ. Az olyan problémák, amelyek nem befolyásolják a biztonságot, nem jogosultak jutalomra, de továbbra is szívesen fogadjuk őket, és ugyanúgy kezeljük őket, mint bármely más bejelentést.
Támogathatóság
- Önnek kell elsőként jelentenie a sebezhetőséget.
- Ön nem fér hozzá más felhasználók adataihoz, és csak a saját maga által létrehozott fiókokat használja.
- Nem hozhatja nyilvánosságra a sebezhetőséget, amíg nem javítottuk ki.
- Ön egy olyan működő koncepciót nyújt be, amely kihasználja a sebezhetőséget.
- A sebezhetőségi jelentést PGP-vel titkosítjuk (a részleteket lásd alább; lásd: Kapcsolatfelvétel).
Kizárás
Regisztráció/deregisztráció CSRF
DDoS
Social engineering a HOT Group AG ügyfeleinél vagy alkalmazottainál
Self-XSS (bizonyítani kell, hogy az XSS hogyan használható egy másik Algolia felhasználó megtámadására)
Az árfolyamkorlátok figyelmen kívül hagyása
Jelentés az automatizált eszközökről és vizsgálatokról
A spam vagy jogosulatlan üzenetek küldésének sebezhetőségei
Hibák a harmadik féltől származó szoftverekben
X-kerethez kapcsolódó opciók
A HSTS-hez kapcsolódóan
DNSSEC
Hiányzó biztonsági fejlécek, amelyek nem vezetnek közvetlenül sebezhetőséghez
Az infrastruktúra elleni fizikai támadások
Elméleti támadások
Az SSL/TLS bizalom megszakítása
Böngésző/eszköz kompromittálása (pl. számítógép megosztása, fizikai hozzáférés a felhasználó eszközéhez, ...).
Olyan sebezhetőségek, amelyek csak az elavult vagy javítatlan böngészők és platformok felhasználóit érintik.
Jelszó- és fiók-visszaállítási irányelvek, pl. a jelszó-visszaállítási link lejárata vagy a jelszó összetettsége
sebezhetőségek a mi oldalunkon történő feloldás nélkül (HEIST, ...)
Elavult DNS rekordok, amelyek egy olyan rendszerre mutatnak, amely nem a miénk
Tulajdonjog és ösztönzés
Az Ön által nekünk küldött bármely jelentés a mi tulajdonunkba kerül, és nem vagyunk kötelesek válaszolni semmilyen jelentésre. Ha azonban válaszolunk egy bejelentésre, saját belátásunk szerint pénzbeli vagy nem pénzbeli kompenzációt nyújthatunk Önnek, hogy kifejezzük elismerésünket a segítségéért. Ön felelős a Programban való részvétellel és a jutalommal kapcsolatos minden adóért, kiadásért, költségért vagy díjért.
Jótállási kizáró nyilatkozatok
KIFEJEZETTEN TUDOMÁSUL VESZI ÉS ELFOGADJA, HOGY: (1) A PROGRAMBAN VALÓ RÉSZVÉTELE ÉS A JUTALMAK FELHASZNÁLÁSA AZ ÖN SAJÁT FELELŐSSÉGÉRE TÖRTÉNIK. A HOT GROUP AG KIFEJEZETTEN KIZÁR MINDENFAJTA KIFEJEZETT VAGY HALLGATÓLAGOS GARANCIÁT, BELEÉRTVE, DE NEM KIZÁRÓLAGOSAN, A KERESKEDELMI FORGALOMBAN VALÓ ALKALMAZHATÓSÁG, A MEGHATÁROZOTT CÉLRA VALÓ ALKALMASSÁG ÉS A JOGSÉRTÉSMENTESSÉG HALLGATÓLAGOS GARANCIÁJÁT. A HOT GROUP AG KIFEJEZETTEN KIZÁR MINDEN FELELŐSSÉGET A PROGRAMBAN VALÓ RÉSZVÉTELBŐL VAGY BÁRMELY DÍJ FELHASZNÁLÁSÁBÓL EREDŐ BÁRMILYEN CSELEKMÉNYÉRT.
Záró megjegyzés
Kérjük, hogy kövesse a felelős nyilvánosságra hozatal elveit, és adjon a fejlesztőcsapatunknak ésszerű időt a benyújtott probléma megválaszolására és kijavítására, mielőtt nyilvánosságra hozná azt. Kérjük, hogy nyíltan kommunikáljon velünk a közzétételről, hogy egyetértésben legyünk a jelentéssel és az ütemezéssel kapcsolatban.
Nagyon köszönjük, nagyra értékeljük az erőfeszítéseidet! Jó szórakozást a hackeléshez!