Signaler un problème de sécurité
Signaler des problèmes de sécurité
nous examinerons tous les rapports de vulnérabilité légitimes et ferons tout notre possible pour résoudre rapidement le problème. Avant de signaler,
veuillez consulter ce document, ainsi que la base, le programme de primes, les conseils de récompense et ce qui ne devrait pas faire l'objet de rumeurs. boutique
Principe de base : Signaler un problème de sécurité
Si vous acceptez les principes ci-dessous une fois la couverture d'un problème de sécurité sur le magasin vistoi,
nous n'engagerons pas de procédure judiciaire ou d'enquête contre vous en réponse à votre signalement. on a tendance à dire que :
1. Vous fournissez à vistoi store security un temps abordable pour examiner et réparer un problème que vous signalez avant de rendre publiques les données concernant le rapport ou de partager ces données avec d'autres. Signaler un problème de sécurité
2. Vous ne vous déplacez pas avec un compte privé (ce qui inclut la modification ou l'accès aux connaissances du compte) si le propriétaire du compte n'a pas consenti à de telles actions.
3. Vous faites un effort religieux décent pour éviter les violations de la vie privée et les perturbations pour les autres, ainsi que (mais sans s'y limiter) la destruction d'informations et l'interruption ou la dégradation de nos services.
4. Vous n'exploitez pas un problème de sécurité que vous découvrez pour quelque raison que ce soit. (Cela inclut la démonstration de risques supplémentaires, comme la tentative de compromission des connaissances sensibles de l'entreprise ou la recherche d'autres problèmes.)
5. Vous ne violez pas les autres lois ou règles applicables. Signaler un problème de sécurité
Programme Bounty : Signaler un problème de sécurité
Nous reconnaissons et récompensons les chercheurs en sécurité L'agence des Nations Unies facilite la sécurité des magasins vistoi et protège les individus en couvrant les vulnérabilités de nos services.
les primes financières pour de tels rapports sont entièrement à la discrétion de vistoi, du risque pris en charge, de l'impact et d'autres facteurs. Pour être éligible à une prime, vous devez d'abord remplir les conditions suivantes : Signaler un problème de sécurité
1. Adhérez à notre socle (voir ci-dessus).
2. Signaler un bogue de sécurité : c'est-à-dire déterminer une vulnérabilité dans nos services ou notre infrastructure qui crée un risque pour la sécurité ou la confidentialité.
(Notez que la mode du magasin vistoi détermine en fin de compte le risque de difficulté, dont plusieurs bogues ne sont pas des problèmes de sécurité.)
3. Soumettez votre signalement via notre e-mail « security@vistoi.com ». Veuillez ne pas contacter le personnel.
4. Si vous causez sans le savoir une violation ou une perturbation de la vie privée (comme l'accès à la connaissance du compte, les configurations de service,
ou d'autres informations confidentielles) alors que l'enquête est difficile, assurez-vous de le divulguer dans votre rapport. Signaler un problème de sécurité
5. Nous enquêtons et répondons à tous rapports . grâce au nombre de rapports que nous avons tendance à recevoir, cependant,
nous avons tendance à donner la priorité aux évaluations fondées sur le risque et différents facteurs, et vous devriez y aller doucement avant de recevoir une réponse.
6. Nous nous réservons le droit de publier des rapports.
Récompenses
Nos récompenses ont soutenu l'impact d'une vulnérabilité. nous mettrons à jour le programme au fil du temps avec des commentaires pris en charge,
veuillez donc fournir des commentaires de sécurité vistoi store sur toute partie du programme que vous pensez que nous allons améliorer. Signaler un problème de sécurité
1. Veuillez proposer des rapports élaborés avec des étapes cohérentes. Si le rapport n'est pas suffisamment élaboré pour engendrer la difficulté, la difficulté ne sera pas éligible à la prime.
2. Lorsque des doublons se produisent, nous avons tendance à attribuer le rapport principal que nous reproduirons intégralement.
3. Plusieurs vulnérabilités causées par un problème sous-jacent recevront une prime. Signaler un problème de sécurité
4. Nous vérifions que la récompense de prime prend en charge une gamme de choses, ainsi que (mais non limité à) l'impact, la simple exploitation et la qualité du rapport.
nous avons tendance à noter spécifiquement les récompenses de prime, celles-ci sont répertoriées ci-dessous .
5. Les montants ci-dessous sont les montants maximum que nous paierons par niveau. nous avons tendance à viser la vérité, tous les montants des récompenses sont à notre discrétion. boutique
Vulnérabilités de gravité critique (100 $) : vulnérabilités qui entraînent une augmentation des privilèges sur la plate-forme de non privilégié à administrateur, permettent l'exécution de code à distance, le vol d'argent, etc. Exemples :
Exécution de code à distance
- Exécution de shell/commande à distance
- Contournement de l'authentification verticale
- Injection SQL qui fuit des connaissances ciblées